[ad_1]
La falla afecta a todas las versiones de macOS. Afortunadamente, no se puede explotar de forma remota.
Feliz año nuevo, Manzana. Cuando 2017 llegaba a su fin, un investigador de seguridad tuiteó una falla de seguridad de macOS que aparentemente existe desde hace al menos 15 años. “Guau. Un bicho diminuto y feo. Quince años. Compromiso total del sistema”, tuiteó el investigador, que se hace llamar Siguza, el domingo.
Siguza no advirtió a Apple antes de twittear, pero afirma que la falla solo puede activarse cuando tiene acceso local a la Mac.
Gente enojada conmigo por dejar caer un día 0 y hacerlos vulnerables: ¿cuál es su modelo de amenaza?
Si se trata de script kiddies, está seguro porque es solo un LPE y nada remoto.
Si son las personas las que pueden ejecutar código remoto, ¿qué te hace pensar que no tienen kernel r/w también?— Siguza (@s1guza) 1 de enero de 2018(Se abre en una nueva ventana)
El error reside en el componente “IOHIDFamily” del software y se puede usar para obtener privilegios completos del sistema, según Siguza, quien publicó(Se abre en una nueva ventana) una descripción detallada de la falla.
Afecta a todos los sistemas operativos Mac. Pero en Twitter, Siguza dijo que no hubo malas intenciones al revelar la vulnerabilidad. “Me habría enviado a Apple si su recompensa por errores incluyera macOS, o si la vuln [vulnerability] era remotamente explotable”, el investigador tuiteó(Se abre en una nueva ventana). “Dado que ninguno de esos fue el caso, pensé que simplemente terminaría el 2017 con una explosión porque ¿por qué no?
“Si realmente hubiera querido lastimar a alguien, habría encontrado alguna vulnerabilidad activable de forma remota, habría escrito un gusano ransomware y no habría escrito nada al respecto”, continuó Siguza.
Aún así, la falla aún puede ser útil para los piratas informáticos que buscan hacerse cargo de una Mac. El error en sí se dispara cuando el sistema cierra la sesión. Siguza imaginó un escenario de ataque, donde un pirata informático infecta una Mac con malware, que espera hasta que la computadora se reinicia o se apaga para explotar la falla.
Hasta ahora, Apple no ha comentado públicamente sobre la vulnerabilidad ni ha publicado una solución.
“Algunas personas parecen pensar que hago esto por odio, pero en realidad lo hago por amor al oficio de hackear”, Siguza tuiteó(Se abre en una nueva ventana). “No estoy tratando de avergonzar o culpar a nadie — pero si tienes que culpar a alguien, bien, ponmelo a mí. Puedo vivir con ello.”
Actualización 3/1/18: Apple dijo que reparará la falla a través de una actualización de software que se realizará a finales de este mes.
“Dado que explotar la vulnerabilidad requiere que se cargue una aplicación maliciosa en su Mac, recomendamos descargar el software solo de fuentes confiables como Mac App Store”, dijo la compañía.
Cómo funciona una VPN