Apple actualiza OS X por un bug en NTP

La actualización está presente en la App Store, pero se descarga e instala automáticamente ante la gravedad del fallo. Neel Mehta y Stephen Roettger del equipo de seguridad de Google han descubierto múltiples vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario.


El problema de seguridad reside en el demonio "ntpd" del protocolo NTP versión 4.2.7 o Network Time Protocol. El bug en NTP identificado como CVE-2014-9295 también está presente en RedHat y también puede estar presente en otras distribuciones de Linux. Estos problemas se han corregido en ntp-4.2.8, que pude descargarse desde ntp.org.

Por primera vez, Apple ha tenido que enviar una actualización de seguridad para todos los Macs que usen OS X desde la versión 10.8.5 (Lion) de forma automática. Esto quiere decir que Apple obliga a tu máquina una vez se conecta a Internet, a descargar el parche de seguridad.

La instalación no parece obligada y automática, aunque los usuarios que abran la App Store en sus Macs verán la actualización y un botón pidiendo su instalación "lo antes posible", que no necesita ni reiniciar el equipo. Según Apple, con el bug encontrado en este protocolo, un atacante permitiría conectarse a tu equipo y ejecutar remotamente código.

Para comprobar que versión de NTP tienes instalada, abre una ventana de Terminal (escribe "Terminal" en Spotlight) y escribe "what /usr/sbin/ntpd". Si la versión no es ntp-92.5.1 en Yosemite, ntp-88.1.1 en Mavericks o ntp-77.1.1 en Mountain Lion, estás usando una versión insegura.

Fuente: Fayerwayer

Suscríbete a nuestro Boletín