Apple ha rilasciato un corposo aggiornamento di sicurezza per Mac OS X, sia in versione client che server. Numerose la falle tappate: si va da alcune gravi vulnerabilità riscontrate in componenti di normale utilizzo come Finder, ColorSync e il sistema di stampa CUPS, fino all’aggiornamento di componenti “esterni” come il server Web Apache, l’interprete PHP e il server mail Postfix.
Abbastanza seria la vulnerabilità in Finder: la presenza sul Desktop di un file creato ad arte poteva portare ad una serie continua di riavvii del sistema, impedendone di conseguenza l’uso. Ancora più gravi i problemi riscontrati in ColorySync e CUPS: nel primo l’apertura di un’immagine modificata da un aggressore poteva portare all’esecuzione di codice arbitrario; problema simile nel secondo, dove l’esecuzione di codice malizioso poteva essere innescato dalla semplice condivisione della stampante.
Apple approfitta dell’update per aggiornare alle ultime versioni alcuni componenti di terze parti, tipicamente utilizzati in ambito server. In questo caso, però, si fa notare il notevole ritardo con cui si è provveduto all’aggiornamento. Basti pensare che questo aggiornamento risolve problemi in MySQL, PHP e Apache che nelle versioni “upstream” erano stati segnalati e corretti più di due mesi fa. Addirittura la versione di Apache utilizzata da Mac OS X è rimasta “scoperta” per quasi quattro mesi.
L’aggiornamento è ovviamente fortemente consigliato a tutti gli utenti di Mac OS X 10.4 e 10.5, sia server che client. L’update è disponibile tramite il classico strumento di aggiornamento software, e può anche essere scaricato manualmente dal sito di Apple.