OS X, Apple rilsascia un aggiornamento critico per Network Time Protocol
Apple ha rilasciato un importante aggiornamento per OS X da Mountain Lion in poi, compreso Yosemite. E fareste meglio ad installarlo al più presto. Ecco perché.
Apple ha rilasciato nelle scorse ore un “update di sicurezza critico” legato al software NTP (Network Time Protocol) su OS X e consgglia a tutti di installarlo al più presto sui sistemi compatibili, ovvero: Yosemite, Mavericks e Mountain Lion. NPD è il servizio che consente di sincronizzare l’orologio interno di un computer in automatico attraverso la Rete.
Scoperta in origine da due membri del team di sicurezza di Google, questa vulnerabilità è stata segnalata perfino sul sito istituzionale del governo degli Stati Uniti venerdì scorso 19 dicembre. Il pericolo concreto è che qualche malintenzionato possa avvalersene per avviare codice non autorizzato prendendo in prestito i privilegi del demone ntpd:
I ricercatori del Google Security Team Neel Mehta e Stephen Roettger hanno coordinato (la scoperta di) diverse vulnerabilità CERT/CC legate al Network Time Protocol (NTP). Poiché NTP è ampiamente usato all’interno dei sistemi di controllo industriale operativi, NCCIC/ICS-CERT fornisce queste informazioni per i proprietari di infrastrutture critiche e per gli oeratori, così da aumentare la consapevolezza e portare all’identificazione di palliativi per i dispositivi affetti. ICS-CERT può rilasciare aggiornamenti a mano a mano che nuove informazioni saranno disponibili.
Queste vulnerabilità possono essere sfruttate da remoto. Sono già note minacce che prendono di mira tali vulberabilità. I prodotti che utilizzano i servizi NTP precedenti ad NPT_4.2.8 sono comunque esposti. Nessun specifico rivenditore viene menzionato poiché il protocollo è open source.
Dall’inizio dell’anno, Apple e i suoi utenti hanno dovuto fronteggiare diverse minacce, e alcune -come in questo caso- anche piuttosto preoccupanti. Ci viene alla mente ad esempio Shellshock, la falla che colpiva sia Linux che OS X, e Heartbleed, la vulnerabilità di OpenSSL che rischiava di mettere in ginocchio il Web. Tutte, per fortuna, superate senza difficoltà.
