Apple, el cual integra una cantidad considerable de código open source en sus sistemas operativos, se apoya en BIND, creado por el Internet Systems Consortium, para sus componentes DNS. ISC parchó BIND el 8 de julio, pero hasta el momento Apple no ha publicado una actualización para Mac OS X.
De acuerdo a Dan Kaminsky, el investigador que descubrió el defecto de DNS en febrero y ayudó a coordinar el parche multivendedor, se le informó a Apple acerca de la vulnerabilidad antes de que el parche fuera público. “Se les notificó en algún momento,” dijo Kaminsky, quien no dio la fecha. “Se les avisó.”
Aproximadamente un mes después de que Kaminsky descubriera la vulnerabilidad, representantes de varios desarrolladores importantes, incluyendo Cisco Systems, Internet Systems Consortium y Microsoft se juntaron en las oficinas de este último para discutir cómo manejar el defecto.
Los llamados por el parche se volvieron más fuertes la semana pasada, sin embargo, cuando otros investigadores adivinaron los detalles técnicos del defecto. Dos días después, código de ataque se hizo público.
Apple no dio respuesta a preguntas sobre cuándo había sido informado acerca del defecto ni cuando incluiría un parche para solucionarlo. Kaminsky le dio un poco de espacio a Apple sobre el parche DNS debido a su cuota de mercado minúscula. “No mucha gente está corriendo BIND en un OS X Server, y aquellos que lo hacen no necesitan a Apple para actualizarse,” dijo. “Si hubiera un población enorme detrás de servidores DNS corriendo OS X, estaría más preocupado. Esta no es una burla a Apple, es sólo una declaración.”
Sobre la vulnerabilidad DNS, para Kaminsky Apple es una parte secundaria, a lo mucho. “Tenemos peces mas grandes que atrapar,” dijo, añadiendo que era más importante enfocarse en los vendedores de código DNS que afectaban a la mayoría de las personas.
“Los usuarios tienen que preguntarse si Apple siquiera está escuchando cuando se habla de la vulnerabilidad DNS,” Sotrms dijo. “No sabemos nada. ¿Por qué no Apple simplemente hace una declaración de una sola línea de que sabe de la vulnerabilidad y que la solucionará en los próximos 30 a 60 días?“
Mogull, también, fue crítico del proceso de seguridad de Apple en general y de este ejemplo en particular.
Mogull recomendó que Apple trabaje más de cerca con la comunidad open source responsable del código integrado en su Mac OS X, tales como el BIND de la ISC y urgió a la compañía a cambiar su manera de manejar la seguridad.
Sin embargo, Storms vio el lado bueno de que Apple no haya parcheado el defecto, diciendo que podría ser una de las pocas instancias en las que puede observar el tiempo que tarda la compañía en parchear la vulnerabilidad.
No es la primera vez en que Apple ha tomado tiempo en actualizar las partes open source de su sistema operativo. El año pasado, por ejemplo, Charlie Miller, un investigador en Independent Security Evaluators, famoso por su investigación en el Mac y el iPhone, llamó a la compañía, negligente por tomar demasiado tiempo en generar una actualización de seguridad. Más recientemente, Miller culpó a Apple por esperar hasta julio para actualizar el navegador de iPhone después de que Miller explotara el mismo defecto para hackear un MacBook Air en marzo en un concurso en una conferencia de seguridad.
Fuente: Macworld
Foto: D’Arcy Norman
