A pesar de que en la última macro-actualización de Mac OS X se han  corregido 67 vulnerabilidades, al parecer han dejado sin solución un  grave problema en el JRE (Java Runtime Enviroment) que puede ser  aprovechado por atacantes para ejecutar código con solo visitar una  página web.

Sami Koivu encontró un problema de seguridad que permitía la ejecución  de código en JRE a principios de agosto de 2008. Avisó a Sun, pero no  lo corrigieron hasta diciembre de ese mismo año en su Java 6 Update 11.  Poco a poco el resto de sistemas que incluyen el motor de Java fueron  actualizando, excepto Mac OS X. En su segunda macro-actualización del  año (en la que corrige 67 vulnerables, no todas afectan a software que  use el usuario medio, pero sí una buena mayoría) no ha cabido una  solución para este fallo crítico.

JRE viene activado por defecto en el sistema operativo de Apple. El  navegador Safari, por tanto, lo llamará para interpretar páginas que  contengan applets. Si se manipula especialmente uno de ellos (el error  tiene su origen en la clase java.util.Calendar), se podría ejecutar  código en el sistema vulnerable. Los detalles son públicos, existe  prueba de concepto (en el apartado de “más información”) y por las  características de la vulnerabilidad, (el exploit se podría escribir  completamente en Java) es portable a casi todas las plataformas y  navegadores sin necesidad de que sea modificado. Todos los usuarios  pueden actualizar su sistema operativo para estar protegidos, excepto  los de Mac OS X.

Mac OS X sigue teniendo mucho que avanzar en cuestión de seguridad y el  tratamiento que hace sobre sus actualizaciones y parches. Su política  es aglutinar actualizaciones en parches mastodónticos lanzados sin  periodicidad fija. Tampoco se caracteriza (ni Sun, todo sea dicho) por  ser especialmente rápida a la hora de ofrecer soluciones a sus usuarios.  Lo demostró (entre otros ejemplos) en 2008 con la vulnerabilidad en el  protocolo DNS descubierta por Kaminsky. Apple fue el último gran  fabricante en publicar un parche. Todos los grandes (Microsoft, Cisco,  BIND…) sacaron el 8 de julio una solución coordinada a un problema que  se había mantenido en secreto desde principios de año. Pero Apple no.  Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas  después.

Mac OS X quizás no tenga en estos momentos la seguridad como prioridad  en su desarrollo. Lo demuestra a través de varias vías: la gravedad de  las vulnerabilidades que se encuentran en su software, cómo y cuándo las  soluciona y la información que ofrece sobre ellas. A corto plazo, es muy  posible que se arrepienta de no invertir desde ya, en una gestión mucho  más eficaz de la seguridad en su sistema operativo. Es necesario (y  urgente) que se la tome en serio. Microsoft no lo hizo hasta 2002 y  todavía está pagando las consecuencias.

Con respecto a la vulnerabilidad, se recomienda deshabilitar el JRE en  Mac OS X.

Opina sobre esta noticia:
http://www.hispasec...aaldia/3861/comentar

Más información:

About the security content of Security Update 2009-002 / Mac OS X v10.5.7
http://support.apple.com/kb/HT3549

Calendar bug
http://slightlyrand...12/calendar-bug.html

Critical Mac OS X Java Vulnerabilities
http://landonf.bike...8-5353.20090519.html

Mac OS X Includes Known Vulnerable Version of Java
http://www.us-cert....ility_affects_mac_os

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://hispasec.com

Entradas relacionadas

1. El último parche de Mac corrige 50 vulnerabilidades. Una de ellas conocida desde hace 6 meses
2. Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN
3. Vulnerabilidad crítica en Excel podría estar siendo explotada desde hace dos meses
4. Oracle publica una nueva actualización de seguridad para Java
5. Actualización para Java incluye 27 parches de seguridad