28 feb 2014

Security update Apple OSX

E' finalmente arrivato il security update OSX che corregge il famigerato #gotofail.

Usiamolo come esperimento per vedere come se la cava la Apple con la sicurezza informatica. L'update rimanda a questo link, che a sua volta rimanda a questa pagina con l'elenco delle vulnerabilità fixate. Vediamole, una per una, grazie a una ricerca sul database NIST. (Tra l'altro, ci sarebbe voluto poco ad Apple per mettere un link direttamente nella loro pagina, ma non l'hanno fatto)
CVE-2013-1862 - pubblicata il 10 Giugno 2013 - (Assigned 20130219)(*)
CVE-2013-1896 - 10 Luglio 2013  - (20130219)
CVE-2013-5179 - 24 Ottobre 2013 - (20130815)
CVE-2014-1254, CVE-2014-1262, CVE-2014-1255, CVE-2014-1256, CVE-2014-1257, CVE-2014-1258, CVE-2014-1261, CVE-2014-1263, CVE-2014-1265, CVE-2014-1259, CVE-2014-1264, CVE-2014-1260, CVE-2014-1252, CVE-2014-1246, CVE-2014-1247, CVE-2014-1248, CVE-2014-1249, CVE-2014-1250, CVE-2014-1245 - 27 Febbraio 2014 - (20140108)
CVE-2014-1266 (gotofail) - 22 Febbraio 2014 - (20140108)
CVE-2013-6629 - 19 Novembre 2013 - (20131105)
CVE-2013-5139 - 19 Settembre 2013 - (20130815)
CVE-2013-5178 - 24 Ottobre 2013 -  - (20130815)
CVE-2013-5986, CVE-2013-5987 - 21 Gennaio 2014 - (20131002)
CVE-2013-4073, CVE-2013-4248 - 18 Agosto 2013 - (20130607)
CVE-2013-4113 - 13 Luglio 2013 - (20130612)
CVE-2013-6420 - 17 Dicembre 2013 - (20131104)
CVE-2011-3389 - 6 Settembre 2011 - (20110905)

(*)E' interessante notare che il gotofail ha un numero di CVE più alto di quelli pubblicati il 27/2 ma una data di pubblicazione antecedente, il che significa che i precedenti erano stati riservati da Apple quando questa era venuta a conoscenza del bug o, più probabilmente, aveva già una fix quasi pronta: la copia CSV del database del NIST (evidentemente non aggiornatissima) li elenca ancora come "** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem" e li etichetta come "Assigned (20140108)".

I dati ci dicono che:
- questa patch ha fixato 33 vulnerabilità
- di cui 19 non pubblicate prima d'oggi
- di cui la più vecchia risale al 2011!
- lasciando vulnerabili i propri utenti per, mediamente, 82 giorni (togliendo i CVE annunciati ieri e quello del 2011: 137 giorni, cioè più di quattro mesi), considerando le date di pubblicazione. (Considerando invece le date di "Assigned", sono rispettivamente 139 e 222 giorni).


Nessun commento: