Doble problema de seguridad encontrado en los archivos .dmg de Apple

Dos nuevas vulnerabilidades han sido encontradas en la forma que Mac OS X trata a los archivos .dmg, imágenes de disco usadas comúnmente para distribuir y almacenar software y datos.

La primera vulnerabilidad, marcada como crítica por la firma de seguridad Secunia, permite el escalado de privilegios, la denegación de servicio (kernel panic, funcionamiento lento, cierre de aplicaciones, etc) y eventualmente el aceso remoto al ordenaaador de un usuario si una imagen .dmg específicamente preparada es abierta automáticamente por el sistema (o eventualmente, por el usuario).

La segunda vulnerabilidad es similar en naturaleza: una imagen corrupta .dmg con sectores en mal estado, puede llevar a un estado de denegación de servicio.

La primera medida para evitar este problema es evitar que ningún programa abra automáticamente este tipo de archivos: Safari lo hace, así que para desactivar este comportamiento, es necesario ir a preferencias > general y desactivar esa opción.

desactivar_safari.jpg

En general, hay que evitar descargar archivos de este tipo de fuentes no confiables.

Fuente: Security Focus

0 0 votos
Article Rating
Subscribe
Notify of
16 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Anónimo
Anónimo
17 years ago

“Llevar a un estado de denegación de servicio” es, en román paladino, colgar el ordenador.

Anónimo
Anónimo
17 years ago

Venga, a ver donde estan ahoa los recalcitrantes que os reiais de fallos ajenos.

Anónimo
Anónimo
17 years ago

Yo me río de Microsoft XD es que son patéticos! Y de los fallos o posibles fallos en Mac, me pongo serio, pero estoy muy tranquilo… mientras espero que arreglen el problema lo antes posible, más temprano que tarde…

Anónimo
Anónimo
17 years ago

1 fallo de mac 1123087918340912748470973347q0980 de windows, me sigo riendo JA JA JA JAJAJAJAJA y JA

Anónimo
Anónimo
17 years ago

Pero vamos a ver……..

Un archivo .dmg, lo podríamos considerar como una especie de .exe en windows.

El .dmg no se instala solito, sin que el usuario haga un doble click, asi que yo no considero que el instalar un dmg corrupto como fallo de seguridad en mac OSX.

Otra cosa sería que un dmg se autoinstalara y ejecutara como hacen la mayoría de los .exe.

Normalmente, un software que viene en .dmg, es un soft que hemos comprado, o en su defecto pirateado, descargandolo de cualuqier P2P. Bien, si yo me bajo un programa pirata, y algún simpatico se cargó la información que contenía el paquete, y tengo problemas al instalarlo, pues no es fallo del SO, si no del pirateo.

Un software legalmente comprado no te va a dar ningún problema en la istalación, salvo que el archivo esté corrupto, entonces da igual, en archivo no irá.
El andar a buscar todo el día “fallos de seguridad en macOSX” ya huele un poco a chorradita de turno.
Y no, no me jode que encuentren algún fallo de seguridad, pero que encuentren uno en el cual se autoformatee el ordenador, me bloquee todos los archivos de sistema, no funcionen los prograamas, o algo por el estilo, porque joder con los tests que se curra la gente.

Cojer un .exe que esté corrupto e intentar instalarlo en un PC, a ver si se cuelga el ordenador.

Joder, es que parece que a veces no saben de que coño están hablando. Un poco de seriedad con las pruenas que se hacen, y con lo que se divulga.

Anónimo
Anónimo
17 years ago

“no me jode que encuentren algún fallo de seguridad”
“porque joder con los tests que se curra la gente”
“Joder, es que parece que a veces no saben”

YoMismo, creo que estas muy jodido, eh?

Anónimo
Anónimo
17 years ago

Si, Beto, estoy Jodido, pero contento.
Pido perdón, pero es que suelo hablas asin de mal.
Voy a lavarme la boca con jabón…

Anónimo
Anónimo
17 years ago

Compre un Imac 20, procesador 2.16 intel core duo. Venía con el 10.4.7. Actualize al 10.4.8 y de inmediato empeze a tener cuelgues, en alguno de estos aparecía el “kernel panic”. Llamé a apple y la solución que me dierón fué instalar otra vez el 10.4.7 y esperar a que saliera otra versión superior a la 10.4.8.
Esta noticia es la primera que veo que trata sobre el tema. Estais seguros de que esto lo soluciona?
Gracias

Anónimo
Anónimo
17 years ago

YoMismo. Pides seriedad después de soltar una sarta de sandeces que siquiera te ruborizan.

Un .dmg se instala solito. Lo que intuyo que quieres decir, es que el contenido de ese .dmg no se instala solito. Pero te equivocas, porque lo que te dice la noticia es, precisamente lo contrario: que Safari sí instala el contenido de ese .dmg solito, y además te indica el modo de corregirlo.

Con lo cual, parece que quien no sabe de lo que habla eres tú.

Por otra parte, afirmaciones como ésta:

“Normalmente, un software que viene en .dmg, es un soft que hemos comprado, o en su defecto pirateado, descargandolo de cualuqier P2P.”

son incorrectas. Todos -menos por lo visto tú-, sabemos que hay cienes y cienes de aplicaciones Share y Freeware que podemos descargar de cualquier sitio de cualquier web de cualquier servidor del universo. No tenemos que comprarlo ni, mucho menos, piratearlo. Los ejemplos se cuentan por decenas de miles.

Nos pueden engañar con relativa facilidad, que es lo que acertadamente afirma la noticia.

Pero alguno como tú no se quiere enterar.

Qué le vamos a hacer.

Anónimo
Anónimo
17 years ago

Macumbo ¿abrir una imagen de disco es instalar? Por favor, no demos lecciones si decimos burradas como esas, una imagen dmg se monta que yo sepa, no se instala y mucho menos se autoinstala. Mac Os X no instala nada por si solo, si alguien dice lo contrario es que no estamos hablando del mismo Mac Os. Aquí lo que se está advirtiendo es que supuestamente existen imágenes dmg que al ser montadas comienzan a hacer estragos en el sistema sin instalar su contenido. A mi esto me suena muy raro, pero bueno. El Safari tiene una opción para montar este tipo de imágenes automáticamente y según la noticia debemos deseleccionar dicha opción… ¡Vaya fallo de seguridad, no instales cualquier cosa y santas pascuas!!!!

Anónimo
Anónimo
17 years ago

Eso sólo significa que tú tampoco has entendido nada.

Anónimo
Anónimo
17 years ago

Eso sólo significa que tú tampoco has entendido nada.

Anónimo
Anónimo
17 years ago

No solo es que no hayas entendido nada, Hebo, es que además parece que has descargado poco con Safari.

Anónimo
Anónimo
17 years ago

Si tu lo dices, esto es lo que he descargado en la última semana con Safari y sin problemas XD: Ri-li-2.0.0.dmg, Gimp-2.2.11.dmg, FastIcns v2.0.dmg, armagetronad-0.2.8.2.1.macosx-universal.dmg, WingNuts.dmg, BigBangReaction.dmg, UbuntuCdLive.dmg, seamonkey-1.1a.en-US.mac.dmg, AbiWord-2.4.5-10.2.dmg, doukutsu0_0_6.dmg, OnyX.dmg, lightroom_b2_standalone.dmg, … si quieres sigo porque hay mucho más, entre ellas versiones de Linux para amigos con PC, muchas demos de juegos, he probado mucho soft libre para Mac el fin de semana pasado…

Anónimo
Anónimo
17 years ago

Pues, Macubo, aprende a configurar el safari que tanto utilizas, oprque es mi navegador, y NUNCA me ha instalado nada el solito.
Antes de saltar dando sermones, deberías leer bien los comentarios de la gente, pues siu te fijas un poquito al principio de mi comentário, digo lo siguiente:

“El .dmg no se instala solito, sin que el usuario haga un doble click, asi que yo no considero que el instalar un dmg corrupto como fallo de seguridad en mac OSX”

Osea que aprende a leer.

Y repito que no sepuede culpar de fallo de sistema operativo, a la instalación de un programa por parte del usuario, aunque te engañen con el contenido. Es tu fallo el instalar Shareware de cualquier sitio.

Y un dmg no se instala. Es una imágen de disco. Si está corrupto, te ralentizara el equipo, pero no te provoca un Kernel panic, no hay que exagerar

Anónimo
Anónimo
17 years ago

La paciencia que hay que tener.

Be water, my friend. Me rindo contigo.

16
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x