5 noviembre 2014 Seguridad, Software

Un investigador sueco dice haber descubierto una grave vulnerabilidad en OS X Yosemite a la que ha bautizado como RootPipe, que permitir√≠a una escalada de privilegios de administrador hasta alcanzar el control completo del ordenador en cuesti√≥n, sin que fuera necesaria ninguna contrase√Īa. El v√≠deo superior es una demostraci√≥n de la vulnerabilidad.

Este es un caso un tanto extra√Īo, ya que a pesar de que el problema podr√≠a estar presente¬†desde versiones anteriores a Mac OS X Mountain Lion nadie se ha dado cuenta del mismo, y mientras¬†Apple, que ha pedido al descubridor del problema¬†Emil Kvarnhammar¬†que no divulgue detalles sobre el fallo hasta enero del 2015.

Por norma general cuando se descubre un fallo de software, no son pocos los que corroboran y reproducen el problema, cosa que en este caso no ha ocurrido; esto en parte tiene lógica porque los detalles en estos casos son los que propician el poder comprobar el problema en todos los escenarios posibles.

Sin embargo, el hecho de que se pueda coger el control completo de un ordenador sin usar ni una sola contrase√Īa no es una visi√≥n muy agradable, y que Apple pida al desarrollador que no desvele los detalles del mismo hasta principios del pr√≥ximo a√Īo (aunque en primera instancia la empresa no hizo demasiado caso al investigador), implica que podr√≠amos estar durante los pr√≥ximos 2 meses como m√≠nimo expuestos al problema.¬†

Dentro de lo extra√Īo tambi√©n debemos matizar que es poco probable, debida a la escasez de informaci√≥n al respecto, que alguien con malas artes pueda aprovecharse del fallo y de todas maneras, entiendo yo que estando en modo usuario -que no modo administrador- el problema se minimiza todav√≠a m√°s. Sin embargo, se aconseja no utilizar diariamente la cuenta de administrador y hacer uso de FileVault para protegernos.

Ya para rubricar lo extra√Īo de todo este asunto, en Mavericks el problema no existe, y ha sido fruto de la reutilizaci√≥n de c√≥digo lo que ha reavivado el problema.

En fin; veremos como avanza este tema. Pero no est√° de m√°s recordar que hombre prevenido, vale por dos…

Vía | Hispasec , ZDNet

Comentarios

Enlaces y trackbacks

  1. El agujero de seguridad “RootPipe” seguir√≠a estando presente en OS X 23 abril 2015

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *