Apple fixa un pericoloso bug di iTunes

Apple ha rilasciato un aggiornamento di iTunes per Mac e Windows per fixare un bug che poteva essere sfruttato per infettare i sistemi degli utenti attraverso file musicali opportunamente modificati.
Apple ha dichiarato che l’apertura di uno di questi tipi di file provoca un buffer overflow durante l’operazione di lettura della cover dell’album.
Stando a David Thiel di iSEC la falla dipende da un errato parsing del ‘covr’ atom di un file MP4/AAC.
Le nuove versioni per Mac OS X v10.3.9, Mac OS X v10.4.7, Windows XP e Vista sono disponibili per il download sul sito Apple.

Approfondimenti:

Chiuso pericoloso bug in Apple TV

Oltre ad aggiungere il supporto per YouTube, la versione 1.1 di Apple TV chiude una falla piuttosto pericolosa. La vulnerabilità consentiva di effettuare code-injection e eseguire codice remoto sul device.
Il problema è causato da un bug nell’implementazione Apple dell’Internet Gateway Device Standardized Device Control Protocol, utilizzato dal dispositivo per segnalare, tra le altre cose, al router via UPnP quali porte aprire.
Sembra si verifichi un buffer overflow durante il processing di determinate pacchetti UPnP: questo consente di scrivere codice nello stack dell’applicazione e eseguirlo.
Stando all’advisory sembra la falla possa essere sfruttata da remoto: non è ancora chiaro però se quel “remoto” significhi dalla LAN interna oppure proprio da Internet.
Questo perchè tipicamente i pacchetti UPnP non vengono instradati attraverso Internet.
I problemi con il protocollo UPnP non sono di certo recenti: molto spesso sono stati riscontrati problemi nel supporto fornito dagli stessi router/firewall visto che non di rado capitava che venissero usati come relay o proxies in maniera “malevole”.
L’update viene installato in maniera automatica, anche se c’è da ricordare che il meccanismo di software update dell’Apple Tv è programmato per attivarsi una volta alla settimana. L’utente può tuttavia procedere all’aggiornamento in maniera manuale.

LINK:
About the security content of Apple TV 1.1, Apple’s security advisory

Apple patcha 25 falle di Mac OS X

Nella giornata di ieri Apple ha rilasciato il quarto security update dell’anno, patchando ben 25 vulnerabilità del proprio sistema operativo, 24 delle quali interessano la versione 10.4 di Mac OS X.
All’interno della lunga lista anche una patch per reti wireless per sistemi più vecchi.
Tre fixes interessano il demone di autenticazione Kerberos e altri tre il sistema Login Window.
Le altre patches interessano servizi Unix come ftpd, GNU tar, fecthmail, WebDAV e SMB. Due fixes a Libinfo impediscono ora a siti web malevoli di poter eseguire codice arbitrario.
Apple ha aggiornato anche i servizi usati in iChat e in System Configuration.

LINK:
About Security Update 2007-004, dal sito Apple

FlyakiteOSX 3.5: cambia pelle al tuo Windows

Vi segnalo un interessante software che consente di trasformare completamente dal punto di vista grafico il proprio sistema operativo Windows e renderlo Mac Os X like.
Il software in questione è FlyakiteOSX 3.5, uno shell pack di cui di seguito elenco brevemente i requisiti di sistema:
– Pentium 3 800Mhz
– 128 MB Ram
– 30 MB di spazio libero
Una volta installato il sistema si appesantisce leggermente quindi è consigliabile utilizzarlo solo se avete per lo meno 512MB o più di RAM.

FlyakiteOsX 3.5 Trasforma Windows in Mac OS X

Visto che il sito principale del programma al momento non è raggiungibile ho messo online l’exe del pacchetto.
Buon download e buon restyling!

Aggiornamenti importanti per Apple

Il security update 2007-003 per Mac OS X 10.3.9 e 10.4.9 chiude ben 41 buchi di sicurezza nella versione server; almeno 14 di questi possono essere usati per iniettare codice in un sistema e eseguirlo in maniera remota.
Riguardo alla sola elaborazione delle immagini disco Apple è stata costretta a rimuovere otto bugs, sei dei quali portati alla luce dal Month of Apple Bugs.
Sono stati inoltre patchati altre “vulnerabilità MoAB”, come bugs nell’elaborazione del protocollo AppleTalk, in ImageIO, QuickDraw,CoreGraphics e nel meccanismo di software update.
Corrette altre sette falle per MySQL Server, delle quali almeno una permette l’esecuzione di codice injected.
Apportate anche patches anche per vulnerabilità al kernel, ColorSync, Crash Reporter, il servizio di stampa CUPS, Printer Center, Directory Services, il player Flash, SMB File Server (Samba), OpenSSH, Weblog, gnutar e sudo.
Siccome alcuni di questi servizi non sono presenti nella versione client di Mac OS X, in quel caso sono state chiuse molte meno falle.
Un bug report sulla versione 10.3.9 riporta la lista completa.
Un update seperato tappa la falla in iPhoto. Nonostante questo Apple non ha ancora patchato tutte le vulnerabilità attualmente scoperte.

Tuttavia gli aggiornamenti alla sicurezza non sono state le uniche novità.
L’update per la versione 10.4.9 migliora numerose funzionalità. Migliorata la qualità di riproduzione dei DVD, incrementato il supporto al numero di USB cam per iChat e altre aggiustamenti che stando a quanto dichiarato avrebbero migliorato stabilità e performance del server.
Tutti questi aggiornamenti, il cui peso ammonta all’incirca a 160 MB, possono essere acceduti direttamente tramite la funzionalità di update del sistema operativo, o scaricati come package a parte dal sito.
Per una panoramica di tutti gli updates (nelle varianti server e client) per sistemi Intel e PPC si consulti la relativa pagina sul sito Apple.

L'interfaccia di iPhone su PocketPC

Qualcuno in attesa del rilascio di iPhone, ha deciso di realizzare da sè un’interfaccia in stile iPhone da mettere sul proprio Pocket Pc.
E’ il caso di questo smanettone che ha realizzato un programma che gira in full screen…
Il tutto utilizzando PPL 1.20 che può essere scaricato gratuitamente all’indirizzo http://arianesoft.ca. Si tratta di un linguaggio di programmazione, PPL appunto (acronimo per Pocket Programming Language), pensato per realizzare in maniera rapida e veloce applicazioni per i dispositivi mobile.
L’autore stando a quanto scrive nei commenti di risposta ad alcuni utenti su YouTube, non ha ancora intenzione di rilasciare il software, onde evitare di incorrere in possibili problemi legali con Apple.
Thanks for the compliments. I haven’t plan on releasing it yet because I might run into legal issues with Apple. We’ll see how it goes 😉
Per il momento non resta che fargli i complimenti… gustatevi il video!

Safari per Windows?! Mozilla ne è convinta

La Mozilla Foundation sembra fortemente convinta che una delle prossime mosse di Apple potrebbe essere il rilascio di una versione per Windows del proprio browser Safari.
Nelle pagine Wiki infatti sotto la voce “Observations & Assumptions” riguardanti la futura versione Firefox 3 (Codename: Gran Paradiso) compariva fino a poco tempo fa una frase alquanto emblematica:
Apple may have Safari on Windows with likely ties to iTunes & .Mac

L’articolo che faceva riferimento all’accaduto è stato pubblicato da ZDNet l’11 gennaio, tuttavia ad oggi della fantomatica frase non si trova traccia nel wiki di Mozilla.
Sembra che ci siano già state in passato voci di corridoio riguardanti “Cocoa”, l’ambiente di programmazione object-oriented per Ma OS X, e un suo possibile porting da parte di Apple su piattaforma Windows: questo non farebbe altro che rendere piu’ semplice l’arrivo di Safari sui sistemi di casa Microsoft.

Intanto già da tempo alcuni sviluppatori sono al lavoro su Swift un browser Safari-like.
Utilizza infatti l’Apple Webkit rendering engine, lo stesso usato da Safari. La versione attualmente disponibile è la 0.2 ed è scaricabile direttamente da qui.

Come sempre riguardo a questi temi ci sono due scuole di pensiero.
La prima convinta che il porting da parte di Apple del suo gioiellino Safari su Windows sarebbe una pura pazzia. Perchè dare una mano al “nemico”?
La seconda invece convinta che il porting sarebbe un colpo di genio: d’altronde se non puoi battere chi possiede il 95% delle quote del mercato dei sistemi operativi desktop, perchè non trovare un modo per “infiltrarsi” in questo impero. E poi di certo Safari non sarebbe il primo software di Apple ad effettuare questa “conversione”… basta pensare a iTunes 😀