Loading ...A pesar de que en la última macro-actualización de Mac OS X se han corregido 67 vulnerabilidades, al parecer han dejado sin solución un grave problema en el JRE (Java Runtime Enviroment) que puede ser aprovechado por atacantes para ejecutar código con solo visitar una página web.
Sami Koivu encontró un problema de seguridad que permitÃa la ejecución de código en JRE a principios de agosto de 2008. Avisó a Sun, pero no lo corrigieron hasta diciembre de ese mismo año en su Java 6 Update 11. Poco a poco el resto de sistemas que incluyen el motor de Java fueron actualizando, excepto Mac OS X. En su segunda macro-actualización del año (en la que corrige 67 vulnerables, no todas afectan a software que use el usuario medio, pero sà una buena mayorÃa) no ha cabido una solución para este fallo crÃtico.
JRE viene activado por defecto en el sistema operativo de Apple. El navegador Safari, por tanto, lo llamará para interpretar páginas que contengan applets. Si se manipula especialmente uno de ellos (el error tiene su origen en la clase java.util.Calendar), se podrÃa ejecutar código en el sistema vulnerable. Los detalles son públicos, existe prueba de concepto (en el apartado de “más información”) y por las caracterÃsticas de la vulnerabilidad, (el exploit se podrÃa escribir completamente en Java) es portable a casi todas las plataformas y navegadores sin necesidad de que sea modificado. Todos los usuarios pueden actualizar su sistema operativo para estar protegidos, excepto los de Mac OS X.
Mac OS X sigue teniendo mucho que avanzar en cuestión de seguridad y el tratamiento que hace sobre sus actualizaciones y parches. Su polÃtica es aglutinar actualizaciones en parches mastodónticos lanzados sin periodicidad fija. Tampoco se caracteriza (ni Sun, todo sea dicho) por ser especialmente rápida a la hora de ofrecer soluciones a sus usuarios. Lo demostró (entre otros ejemplos) en 2008 con la vulnerabilidad en el protocolo DNS descubierta por Kaminsky. Apple fue el último gran fabricante en publicar un parche. Todos los grandes (Microsoft, Cisco, BIND…) sacaron el 8 de julio una solución coordinada a un problema que se habÃa mantenido en secreto desde principios de año. Pero Apple no. Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas después.
Mac OS X quizás no tenga en estos momentos la seguridad como prioridad en su desarrollo. Lo demuestra a través de varias vÃas: la gravedad de las vulnerabilidades que se encuentran en su software, cómo y cuándo las soluciona y la información que ofrece sobre ellas. A corto plazo, es muy posible que se arrepienta de no invertir desde ya, en una gestión mucho más eficaz de la seguridad en su sistema operativo. Es necesario (y urgente) que se la tome en serio. Microsoft no lo hizo hasta 2002 y todavÃa está pagando las consecuencias.
Con respecto a la vulnerabilidad, se recomienda deshabilitar el JRE en Mac OS X.
Opina sobre esta noticia:
http://www.hispasec...aaldia/3861/comentar
Más información:
About the security content of Security Update 2009-002 / Mac OS X v10.5.7
http://support.apple.com/kb/HT3549
Calendar bug
http://slightlyrand...12/calendar-bug.html
Critical Mac OS X Java Vulnerabilities
http://landonf.bike...8-5353.20090519.html
Mac OS X Includes Known Vulnerable Version of Java
http://www.us-cert....ility_affects_mac_os
Sergio de los Santos
ssantos arroba hispasec.com
Fuente: http://hispasec.com
Entradas relacionadas:
- El último parche de Mac corrige 50 vulnerabilidades. Una de ellas conocida desde hace 6 meses
- Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN
- Vulnerabilidad crÃtica en Excel podrÃa estar siendo explotada desde hace dos meses