Il gruppo di ricerca nel campo della sicurezza informatica Project Zero, composto da Google nel 2014, pubblica un nuovo rapporto su alcune falle nella sicurezza riscontrate, questa volta, all’interno di OS X.
Le vulnerabilità zero-day – falle sconosciute e quindi sfruttabili al momento della loro scoperta – sono tre e sono state rilevate negli ultimi mesi dal team di sviluppatori e ricercatori sostenuto dal gigante dell’informatica. Come per ogni pubblicazione del Project Zero la notifica del ritrovamento delle vulnerabilità è accompagnata da un metodo per sfruttarla come prova della sua esistenza.
I tre rapporti possono essere visionati sul portale Google Security Research.
Non si tratta di falle nella sicurezza particolarmente gravi poiché per sfruttarle un qualsiasi aggressore dovrebbe possedere già un qualche tipo di accesso al Mac preso di mira. Restano comunque delle vulnerabilità che possono essere sfruttate per ottenere privilegi e livello di accesso superiori ed eventualmente raggiungere il controllo del sistema.
Il team supportato dalla società di Mountain View ha agito come nei precedenti casi: le vulnerabilità sono state rilevate il 20, 21 e 23 di ottobre e notificate privatamente ad Apple. Allo scadere del periodo di 90 giorni previsto dal Project Zero per la risoluzione del problema le falle sono state rese pubbliche.
Il modus operandi del Project Zero è stato recentemente criticato da Microsoft quando, nella prima metà di ottobre, il team di ricercatori ha rivelato una vulnerabilità di Window 8.1 utilizzando lo stesso identico metodo.
La compagnia di Redmond ritiene che tale abitudine sia sbagliata in quanto rivelare una vulnerabilità prima che gli sviluppatori siano stati in grado di risolverla e prima della pubblicazione di una patch, crea un enorme rischio per gli utenti.
Secondo Microsoft il modo migliore per affrontare la cosa sarebbe notificare l’esistenza del problema e coordinarsi per risolverlo e rivelarne l’esistenza.