Cabecera-v2-web.jpg

Google revela tres vulnerabilidades O-Day en OS X

El Project Zero creado por Google para buscar vulnerabilidades en todo tipo de software, ha publicado tres vulnerabilidades 0-Day encontradas en el sistema operativo OS X de Apple.

Como vemos, Google no se limita a publicar las vulnerabilidades Windows que han provocado un fuerte debate en Internet y ahora toca OS X bajo las mismas polí­ticas de Project Zero: informar a las compañí­as de las vulnerabilidades encontradas y revelarlas una vez pasado un plazo establecido en 90 dí­as.

La primera vulnerabilidad afecta al servicio XPC de networkd, que es el demonio que usa OS X para manejar las redes. La segunda vulnerabilidad afecta a la ejecución de IO/Kit, que se encuentra en el kernel, debido a que una referencia a un puntero nulo en el componente de IntelAccelerator. La tercera y última hace referencia también a IO/Kit, pero en este caso es una corrupción de memoria provocada por el uso de la conexión a través Bluetooth.

Como en el caso de Microsoft con las vulnerabilidades en Windows, Apple no ha parcheado las vulnerabilidades en Mac OS X lo que seguirá alimentando la polémica de la polí­tica empleada, revelando las mismas con pruebas de explotación una vez pasado el plazo de tres meses, estén o no parcheadas.

Al contrario que Microsoft, Apple no ha entrado en el fondo manteniéndose en su polí­tica de seguridad: "Por la protección de nuestros clientes, Apple no divulga, debate, ni confirma problemas de seguridad antes de hacer una investigación completa, ni antes de que los parches necesarios o lanzamientos estén disponibles. Apple generalmente distribuye información sobre problemas de seguridad en sus productos a través de este sitio y una lista de correo."

¿Es una irresponsabilidad de Google revelar vulnerabilidades sin parchear? ¿90 dí­as deberí­an ser suficientes para que Microsoft parchee este tipo de vulnerabilidades? ¿Google deberí­a esperar a la publicación del parche más allá del periodo fijado o es la única manera que se corrijan en un tiempo determinado? El debate continúa.

Fuente: muyseguridad.net

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11