Si ritorna a parlare di un Bug del cuore Unix di Leopard e Snow Leopard, che esiste ed è stato già segnalato in giugno scorso. Come si vede dal SecutiryAlert di ieri 8 gennario 2010, il potenziale di rischio è piuttosto elevato. Ma attenzione: non relativamente alla sua diffusione, bensì alla eventuale pericolosità.

Strtof, una funzione che si occupa di convertire una stringa ASCII in un numero a virgola mobile, può essere mandata facilmente in buffer owerflow, generando un errore/eccezione sfruttabile per eventuali attacchi.

La quantità di sistemi che condividono il problema è enorme (OpenBSD, NetBSD, FreeBSD, MacOSX, Google Chrome, Mozilla Firefox, Mozilla Seamonkey, Mozilla Thunderbird, ecc..) però molti sono già corsi ai ripari, mentre per il nostro Mac OS X il “rischio” rimane.

Tenendo sempre in considerazione che il pericolo difficilmente toccherà case e piccoli uffici, restiamo in speranzosa attesa per Snow Leopard 10.6.3.