CNET informa de que un fallo en la forma en la que el núcleo del sistema operativo gestiona errores que se producen en el mismo podría estarse utilizando para comprometer sistemas con Mac OS X 10.4.0 a 10.4.7.
Ese fallo en la gestión, solucionado por la actualización Mac OS X 10.4.8, y especialmente el código que utiliza esa vulnerabilidad (exploit), permiten que un usuario ya existente en el ordenador, pero sin privilegios de administrador, pueda conseguir privilegios de super-usuario.. Un interesante artículo en Memoria de Aceso Aleatorio.
Ya lo lei en la bitacora hace unos dias pero pese a que no soy un gran defensor de MocOSX si que es cierto que es una vulnerabilidad muy muy muy tonta.
– Si no tienes cuenta en la maquina no lo puedes explotar.
Vulnerabilidades siempre las ha habido en todos los sistemas y MocOSX no iba a ser la excepcion pero a dia de hoy no conozco ninguna vulnerabilidad que se peuda explotar masivamente para el (ni de Linux ni de UNIX), cuando el parque informatico de sistemas UNIX/like sea mas amplio quien sabe pero me da a mi que se utilizara mas la tan usada ingenieria social para hacer picar a los pardillos (es la que mas ha logrado infectar sistemas windows y mira que son inseguros).
Es por eso que siempre he defendido el conocimiento para un uso responsable, sin conocimiento hasta la maquina mas segura se doblegara (y no, TCPA no me parece la solucion, si dejamos nuestro futuro en manos de las empresas nos podemos dar por lobotomizados).
Un Saludo.
Ademas de lo que dice Darwin, esta vulnerabilidad se da en versiones anteriores a la ultima actualizacion echa ya hace unas semanas, asi que si tienes la ultima version no hay problema.
Pero hay que avisar de ella, dándole su justo peso 😉
cada vez q se descubre una vulnerabilidad, la anuncian como la primera.
cuantas primeras vulnerabilidades han descubierto ya?
Josepe, la diferencia fundamental con esta vulnerabilidad es que existía, a disposición de cualquiera, código para explotarla al menos desde Noviembre de 2005, y que eso explica el hecho de que se pudiera comprometer un servidor Mac OS X para el que se proporcionaban cuentas de usuario normales en 30 minutos (el tiempo necesario para instalar herramientas de desarrollo, y otros útiles para comprometer el servidor)