Se van conociendo más detalles de la vulnerabilidad que permitió a un investigador en seguridad (un _hacker_ de los de verdad) llevarse 10.000 dólares de premio más un MacBook Pro por conseguir lanzar una terminal de usuario remota en un MacBook Pro con configuración de serie… y no deja de ser sorprendente, porque está quedando claro que (no se trata de una vulnerabilidad de Safari), como se pensaba al principio, sino de QuickTime, y afectaría potencialmente a _cualquier_ navegador_ tanto en Mac OS X como en Windows_.
Lo que hace el ataque es aprovechar el subsistema Java de QuickTime (QT4J), que sí pasa la información a las APIs de QuickTime sin validación, y es en las APIs nativas (Mac o Windows) de QuickTime donde se produce el fallo, lo que puede acabar proporcionando una _shell_ (intérprete de comandos de terminal) a nivel de usuario.
Este vector de infección está disponible allí donde existan:
- Una instalación de QuickTime
- Un navegador con Java activado
QuickTime tiene por defecto en cualquier Mac OS X, y en muchísimos ordenadores Windows. Java también está instalado (y activado en el navegador) por defecto en todos los Macs, aunque son menos los sistemas Windows XP que incluyen Java, aunque si se ha instalado Java el comportamiento por defecto es activar el plugin de Java.
El ataque es independiente, por tanto, del navegador, mientras tenga activo el acceso a Java, y su arreglo implica una actualización de QuickTime, aunque se puede evitar ser atacados por ese fallo desactivando el acceso a Java _en todos los navegadores_. Actualmente, sólo se ha creado el ataque para Mac OS X con Intel, pero potencialmente se puede crear para Mac OS X con PowerPC, y para Windows.
Me resulta particularmente interesante que el ataque a un sistema cuyos principales sistemas de seguridad están basados en código abierto se produzca justo a través de un sistema cuyo código no está libremente disponible… lo que desde mi punto de vista valida la idea de que QuickTime debería pasar a ser un sistema de código abierto. No necesariamente los códecs, que suelen ser los que contienen la mayoría de la propiedad intelectual de terceros, y que Apple no podría liberar por su propia voluntad, pero sí el subsistema y las APIs.
Enlaces
La reciente vulnerabilidad del Mac OS X también funciona contra Windows
* Matasano Chargen: «BREAKING: MacBook Vuln In Quicktime, Affects Win32 Apple Code»:http://www.matasano.com/log/812/breaking-macbook-vuln-in-quicktime-affects-win32-apple-code/ < Vía "DaringFireball Linked List":http://daringfireball.net/linked/2007/april#mon-23-qt_java
* Faq-Mac: «Rota la seguridad de Safari en un concurso de hackers»:https://www.faq-mac.com/mt/archives/022692.php
en el caso de OSX, tanto Quicktime como Java, vienen instalados.
en el caso de windows no. debe instalarlos el usuario, pues es software de terceras partes, y en muchos casos no se instala, pues la mayoría de usuarios no necesitan ninguno de los 2.
No me parece que digan en dónde hay un hueco de seguridad para que ataquen al MacOs (en windows me da igual, pues tiene cientos, que uno más da lo mismo), es como avisar a los hackers a que intenten fastidiarnos. Sonará paranoico, pero es lo que pienso. Se limitaran a decir que desactive uno el java en su browser y punto.