Come si è spesso evidenziato durante il corso di questi anni, il problema di falle presenti nel PC non è solo colpa del sistema operativo, ma un ruolo importantissimo lo giocano i vari software installati nel sistema operativo. Su tutti, ad esempio, i plugin installati nei browser web.

Durante la navigazione online si corre spesso il rischio di imbattersi in pagine web fittizie, codici confezionati ad hoc per poter sfruttare qualche falla presente nel browser o presente nei plugin installati nel browser.

Si può parlare dei plugin Java, o dei plugin QuickTime, ma sicuramente il ruolo principale lo gioca Flash, l’ormai onnipresente player di Adobe necessario per poter visualizzare correttamente molti siti web che utilizzano animazioni e presentazioni grafiche. Il plugin Flash è continuamente al centro di polemiche per il numero di falle riscontrate nel proprio codice, falle che hanno permesso – e che permettono – a numerosi exploit di infettare i PC degli ignari utenti.

Proprio per evitare questo, o almeno per tentare arginare il problema quanto piu possibile, è stato più volte ribadito come sia necessario che l’utente verifichi costantemente sia la presenza di aggiornamenti del sistema operativo che dei software e plugin installati nel sistema.

I browser web Internet Explorer, Mozilla Firefox, Opera non vengono forniti di default di un plugin Flash, lasciando il compito dell’installazione all’utente. Seguendo la procedura di installazione fornita da Adobe, insieme al plugin viene solitamente installato un gestore di aggiornamenti che avvisa l’utente della presenza di eventuali nuovi aggiornamenti del plugin stesso. Discorso a parte va fatto per Google Chrome, il quale implementa al suo interno un plugin Flash scritto appositamente per poter girare all’interno della Chrome sandbox e che viene aggiornato costantemente da Google stessa.

Tutto questo parlando di Windows. Cosa succede invece su OS X, ad esempio sulla release OS X 10.6.4 Snow Leopard? Chi utilizza questo sistema operativo spesso ne sostiene la sicurezza globale, così come esce di fabbrica. Purtroppo questo è un modo sbagliato di approcciarsi al problema e ne avevo parlato già in passato in alcuni articoli.

Snow Leopard esce di fabbrica con un plugin Flash già integrato in Safari, per rendere la vita molto più semplice ai propri utilizzatori, i quali si troveranno già i siti web funzionanti senza necessità di installare nulla.

Si tratta veramente di un vantaggio? Proprio perché tutto tranquillamente funzionante, sono pochi gli utenti OS X che si preoccupano di aggiornare il proprio plugin Flash. E né Safari, né Snow Leopard, includono una gestione degli aggiornamenti del plugin di Flash.

Di fatto, la maggior parte degli utenti si preoccupa di installare gli aggiornamenti del sistema operativo tramite il sistema di Aggiornamento Software incluso in OS X. Procedura giustissima, sia chiaro, ma incompleta.

Allo stato attuale molti utilizzatori di Snow Leopard si trovano probabilmente con una versione di gran lunga obsoleta del plugin Flash, la 10.0.45.2, che è quella installata di default nell’ultimo aggiornamento di Snow Leopard 10.6.4. La versione corrente invece è la 10.1.85.3.

Si è parlato molto, ad esempio, dell’ultima falla 0day scoperta in Flash (WebNews). I fari sono stati puntati su Windows. Sono pochi però coloro che si focalizzano sul fatto che OS X, di default, utilizza una versione del plugin Flash vecchia di quasi un anno. Senza che l’utente se ne accorga – a meno che non sia un utente smaliziato, che va a controllare da solo spontaneamente la versione del plugin Flash utilizzata da Safari ed effettua, sempre manualmente, un eventuale update.

Si tratta di un problema? Purtroppo sì, visto che Flash è uno dei vettori principali di infezioni in Windows e, come tale, può tranquillamente diventarlo anche in OS X. Anzi, è ancor più un problema poiché – mentre Safari è un processo nativo a 64 bit – il plugin di Flash in Safari è un processo a 32 bit e, come tale, soffre di molte falle che rendono la vita veramente facile a possibili pirati informatici.

Purtroppo, in questo caso, non vengono in aiuto né il DEP integrato in Snow Leopard per la prevenzione di esecuzione di codice da stack e heap, né tantomeno l’ASLR per la randomizzazione degli indirizzi in memoria.

È stato dimostrato più volte come sia possibile superare in OS X il blocco imposto dal DEP, grazie ad un ASLR acerbo, di molto lontano dalla più completa e funzionale implementazione della stessa tecnologia in Windows Vista e 7.

L’Address Space Layout Randomization implementato in Snow Leopard, infatti, non randomizza né heap né stack, né tantomeno randomizza l’indirizzo in memoria del dynamic link loader (dyld), componente fondamentale per l’esecuzione dei processi, il quale viene caricato sempre all’indirizzo 0x8fe00000. Il dynamic link loader contiene al suo interno implementazioni delle funzioni principali, trattandosi di un processo standalone che non può dipendere da nient’altro. Conoscerne dunque il base address significa avere accesso a funzioni vitali per un eventuale exploit, quali ad esempio memcpy.

Conoscere a priori gli indirizzi di memoria fondamentali può permettere ad un potenziale pirata informatico di utilizzare attacchi basati su ROPReturn Oriented Programming – al fine di annullare la protezione messa in atto dalla tecnologia DEP.

Ecco che, dunque, diventa importante controllare non solo gli aggiornamenti del sistema operativo, ma anche di tutti i software installati in esso. E, nel caso del plugin Flash, si tratta di una cosa da fare con la massima urgenza, vista la possibile gravità nel lasciare il plugin non aggiornato. E gli utenti di Windows lo sanno bene cosa significhi avere un plugin Flash non aggiornato.

Per verificare quale versione del plugin Flash sia installata è possibile collegarsi a questa pagina. Eventualmente, per aggiornare il plugin, è necessario collegarsi a questa pagina.

Non importa utilizzare Windows o utilizzare OS X, ciò che è veramente necessario è tenere sempre sotto controllo ciò che è installato nel proprio PC e fare sempre attenzione a ciò che si fa. D’altronde, come è stato già detto da Charlie Miller, OS X è “safer, but less secure“.