23 ene. 2015

Google expone tres vulnerabilidades 0-Day en Mac OS X

Después de exponer tres vulnerabilidades críticas 0-Day en Microsoft Windows, el programa de investigación Google Project Zero ha revelado la existencia de tres vulnerabilidades 0-Day en Mac OS X de Apple.

Lo publicado expone suficiente información como que para un atacante experimentado pueda explotar la vulnerabilidad.

El primer bug, OS X networkd 'effective_audit_token' XPC type confusion sandbox escape, permite que un atacante pueda pasar comandos arbitrarios al demonio "networkd" del sistema operativo OS X, porque no comprueba correctamente las entrad.

La segunda y tercera vulnerabilidad están relacionados con el kernel. El fallo, ofrece a los usuarios locales la posibilidad de poder ejecutar código con acceso root -elevación de privilegios-.

Finalmente da a un atacante la posibilidad de escribir en la memoria, permitiendo potencialmente acceder a datos privados.

Las tres vulnerabilidades requieren acceso físico a la computadora. Sin embargo, la preocupación principal es que los exploits podrían combinarse en un ataque para elevar privilegios y ganar control sobre las Macs vulnerables.

Google ha creado Pruebas de Concepto (PoC) y el código de explotación se encuentra disponible y proporciona suficientes detalles técnicos para planificar un ataque efectivo. Google informó los defectos en forma privada el pasado 20, 21 y 23 de octubre y después de la expiración del período de divulgación de 90 días, la compañía publicó todos los bugs.

Apple aún no ha proporcionado los detalles. Sin embargo, en la página de seguridad producto, afirman que no "revelan, discuten o confirman cuestiones de seguridad hasta que realicen la investigación completa".

Fuente: Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!