Mac pierde la apuesta y un exploit afecta a Windows
Por Angela Ruiz
[email protected]
La semana pasada, Apple publicó un nuevo paquete de actualizaciones para Mac OS X, el cuál incluía 25 parches de distinta importancia. Algunas de las vulnerabilidades corregidas permitían la ejecución de código.
Apenas se publicaron, TippingPoint, una empresa perteneciente a 3Com, lanzó un desafío: 10,000 dólares para el primero que pudiera hackear un Mac con estos parches instalados.
Todo surgió en las conferencias de CanSecWest, celebradas en
Vancouver, Canadá. Al principio, los organizadores pensaron
en premiar a quien pudiera vencer la seguridad de un Mac con
un MacBook, la computadora portátil de Apple. Pero para
algunos, ello tenía poco interés, y por esto, el sitio
mencionado antes también ofreció la jugosa recompensa en
dólares a quien lo lograra.
Apenas unas horas después, un investigador de seguridad
llamado Dino Dai Zovi, descubrió una vulnerabilidad y
desarrolló un exploit, reclamando el premio mayor.
Poco después Shane Macaulay, otro investigador, desarrolló
otro exploit para crear un shell remotamente accesible en un
Mac completamente actualizado, ganándose el premio del
MacBook ofrecido por los organizadores de CanSecWest.
Según Macaulay, todos los equipos con Mac OS son vulnerables
actualmente, tengan o no instalados los últimos parches.
Irónicamente, el vector de vulnerabilidad, afecta también a
Windows, siempre que se tenga instalado el reproductor
QuickTime, de Apple.
* Conclusiones:
- La vulnerabilidad y el exploit de Dino Dai Zovi, se
concentra en el manejo de Java en QuickTime.
- Cualquier navegador con Java habilitado, es un vector de
ataque, siempre que el equipo tenga instalado QuickTime (QuickTime es nativo en Mac OS, y puede ser instalado por el usuario en Windows).
- Firefox y Safari son vectores de ataque confirmados en Mac (Intel).
- Firefox es un vector de ataque en Windows (con QuickTime instalado).
- Deshabilitar el uso de Java es la única manera de evitar esta vulnerabilidad en Mac.
- En Windows, se recomienda desinstalar QuickTime.
* Relacionados:
Vulnerabilidad en QuickTime mediante Java
http://www.vsantivirus.com/vul-quicktime-230407.htm
Fuente: http://www.vsantivirus.com/24-04-07.htm
[email protected]
La semana pasada, Apple publicó un nuevo paquete de actualizaciones para Mac OS X, el cuál incluía 25 parches de distinta importancia. Algunas de las vulnerabilidades corregidas permitían la ejecución de código.
Apenas se publicaron, TippingPoint, una empresa perteneciente a 3Com, lanzó un desafío: 10,000 dólares para el primero que pudiera hackear un Mac con estos parches instalados.
Todo surgió en las conferencias de CanSecWest, celebradas en
Vancouver, Canadá. Al principio, los organizadores pensaron
en premiar a quien pudiera vencer la seguridad de un Mac con
un MacBook, la computadora portátil de Apple. Pero para
algunos, ello tenía poco interés, y por esto, el sitio
mencionado antes también ofreció la jugosa recompensa en
dólares a quien lo lograra.
Apenas unas horas después, un investigador de seguridad
llamado Dino Dai Zovi, descubrió una vulnerabilidad y
desarrolló un exploit, reclamando el premio mayor.
Poco después Shane Macaulay, otro investigador, desarrolló
otro exploit para crear un shell remotamente accesible en un
Mac completamente actualizado, ganándose el premio del
MacBook ofrecido por los organizadores de CanSecWest.
Según Macaulay, todos los equipos con Mac OS son vulnerables
actualmente, tengan o no instalados los últimos parches.
Irónicamente, el vector de vulnerabilidad, afecta también a
Windows, siempre que se tenga instalado el reproductor
QuickTime, de Apple.
* Conclusiones:
- La vulnerabilidad y el exploit de Dino Dai Zovi, se
concentra en el manejo de Java en QuickTime.
- Cualquier navegador con Java habilitado, es un vector de
ataque, siempre que el equipo tenga instalado QuickTime (QuickTime es nativo en Mac OS, y puede ser instalado por el usuario en Windows).
- Firefox y Safari son vectores de ataque confirmados en Mac (Intel).
- Firefox es un vector de ataque en Windows (con QuickTime instalado).
- Deshabilitar el uso de Java es la única manera de evitar esta vulnerabilidad en Mac.
- En Windows, se recomienda desinstalar QuickTime.
* Relacionados:
Vulnerabilidad en QuickTime mediante Java
http://www.vsantivirus.com/vul-quicktime-230407.htm
Fuente: http://www.vsantivirus.com/24-04-07.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!