Mac OS 10.12: mais de 60 vulnerabilidades consertadas

O que para outros pode soar de forma positiva, para mim soa de forma extremamente negativa.

A Apple na terça-feira lançou a versão final do MacOS Sierra 10.12 como uma atualização gratuita e anunciou que nada menos que 65 vulnerabilidades de segurança foram abordados nesta versão do sistema operacional.

Atormentado por 16 falhas, o módulo "apache_mod_php" responsável pela interpretação de código PHP foi o componente mais afetado na plataforma. O mais significativo destes problemas poderá levar a encerramento inesperado da aplicação ou a execução de código arbitrário. A Apple resolveu essas vulnerabilidades através da atualização para a versão PHP 5.6.24.

Outros componentes afetados incluem a implementação da Apple do Apache, AppleEFIRuntime, Application Firewall, Áudio, Bluetooth, CFNetwork, CommonCrypto, CoreCrypto, onda, FontParser, Motorista Intel Graphics, IOAcceleratorFamily, Kernel, libarchive, libxml2, Terminal e WindowServer. A maioria desses problemas foram relatados por pesquisadores externos, mas alguns foram encontrados pela própria Apple.

A execução de código arbitrário foi a vulnerabilidade com o maior número de ocorrências na segurança da Apple. Alguns destes bugs de segurança podem resultar na execução de código com privilégios do kernel ou sistema. Vulnerabilidades que podem resultar em negação de serviço ou vazamentos de informações do usuário também foram abordadas nesta versão.

Além MacOS Sierra 10.12, que resolve vulnerabilidades no v10.11.6 OS X El Capitan, a Apple também lançou o MacOS Server 5.2 e Safari 10, para tratar de bugs de segurança adicionais, juntamente com o iCloud para Windows 6.0, que está disponível para o Windows 7 e, mais tarde com um patch para uma falha WebKit (CVE-2016-4762) que poderia levar à execução de código arbitrário durante o processamento de conteúdo Web mal intencionado.

O Mac OS Server 5.2 está disponível para Mac OS Sierra 10.12 com patches para as duas questões, uma em Apache e outra no componente Servidor ServerDocs. Ao explorar a vulnerabilidade ServerDocs Server (CVE-2016-4754), um invasor pode ser capaz de explorar as fraquezas do algoritmo de criptografia RC4 (vide este artigo). Para resolver o erro, a Apple removeu o RC4 como uma cifra suportada.

No mês passado, a Microsoft desabilitou o RC4 no Edge e no Internet Explorer 11 para melhorar a segurança do usuário e o Mozilla fez o mesmo no Firefox 44, que foi lançado em janeiro deste ano. O Google também tem preterido a cifra no Chrome, um movimento determinado pela descoberta de pesquisadores de novos ataques contra o RC4, alguns cada vez mais práticos e viáveis​​.

O Safari 10 foi lançado com correções para 21 vulnerabilidades em três componentes, notadamente Safari Reader, Safari Tabs, e WebKit. A nova versão do navegador está disponível para OS X Yosemite v10.10.5, v10.11.6 OS X El Capitan, e MacOS Sierra 10.12.

Safari Reader e Safari Tabs foram afetadas por uma vulnerabilidade cada um, ou seja, um Cross-Site-Scripting universal (CVE-2016-4618) e uma falha de spoofing na barra de endereços (CVE-2016-4751), respectivamente. O WebKit foi atormentado por 19 erros, incluindo 15 questões de corrupção de memória e uma questão de interpretação na manipulação de protótipos de erro, tudo o que poderia resultar na execução de código arbitrário.

Outras vulnerabilidades corrigidas no Safari 10 pode resultar em dados confidenciais que vazaram (CVE-2016-4758) ou em sites maliciosos via acesso não-HTTP (CVE-2016-4760). Um problema de validação de certificado na manipulação de WKWebView (CVE-2016-4763) poderia permitir a um invasor, em uma posição de rede privilegiada, interceptar e alterar o tráfego de rede para aplicações que utilizam WKWebView com HTTPS.

E porque acho tudo isso negativo?

Porque demonstra que todos os fabricantes, na ânsia de apresentar novos produtos e meios de capitalização rápida, não vêm "fazendo seu dever de casa", preferindo lançar sistemas inseguros - sem nenhum aviso de BETA-TEST ou similar - e esperando que o mercado (você!) alerte sobre os problemas e defeitos. Estamos falando de 65 atualizações de segurança em sistemas jovens, lançados à pouco tempo!

Fica a pergunta: e se o usuário teve alguma perda financeira ou de imagem decorrente destas vulnerabilidades? Quem o ressarce?