El problema está localizado en una API privada de Apple utilizada por los procesos del sistema, incluyendo la aplicación Preferencias del Sistema y que permite escalar privilegios a un proceso hasta el usuario Root, dejando la máquina a disposición de un atacante.
El problema de seguridad, bastante grave y disponible desde OS X 10.7 Lion, fue descubierto por el investigador de seguridad Emil Kvarnhammar de la compañía TrueSec. La vulnerabilidad es bastante grave y un prueba de concepto ya está disponible en internet, por lo que podría ser aprovechada por creadores de malware de todo tipo para tomar el control de un ordenador con OS X 10.7 Lion, OS X 10.8 Mountain Lion o OS X 10.9 Mavericks independientemente de cualquier medida de seguridad que haya tomado el usuario, incluyendo el uso de una cuenta sin derechos administrativos.
Los usuarios de OS X 10.10 Yosemite, OS X 10.10.1 Yosemite o OS X 10.10.2 Yosemite están seguros siempre que hayan aplicado la actualización de seguridad Security Update 2015-004.
Kvarnhammar descubrió este problema de seguridad en OS X 10.9 Mavericks el pasado octubre e informó a Apple de ello de forma inmediata. Apple preguntó a Kvarnhammar que si podía esperar hasta hacer público el problema más allá de los 90 días que se suelen dar como medida a las empresas para solucionar el problema debido a “la gran cantidad de cambios que había que realizar en OS X” para solucionar la vulnerabilidad.
Muy mal, Apple. Por complicado que sea solucionarlo, dejar con el culo al aire a todos los usuarios que no tengan Yosemite es una marranada. Espero que no sea definitivo y acaben sacando parches para OS X 10.9 y anteriores.
Me parece un extorsión en toda regla, digna de los Soprano. Una manera burda de obligar a los usuarios a migrar a Yosemite.
Hola Carlos
No se si no te habrás fijado (por si estás en Yosemite) pero Apple lanzó esa actualización de seguridad, la Actualización de Seguridad 2015-004 Versión 1.0. , la que mencionas, pero incluyendo también para los usuarios que aun estamos en Mavericks
Me imagino que esta actualización, corrige ese problema de seguridad. Yo la tengo instalada, y estoy en 10.9. Lo único que si que veo es 10.7 Lion se quedó fuera. Solo se habla de 10.8 Mountain Lion y de 10.9 Mavericks.
Esa actualización no incluía la solución específica para este problema, solo para otros.
El descubridor del problema cita específicamente en su artículo, publicado el 9 de abril indica:
Apple has now released OS X 10.10.3 where the issue is resolved. OS X 10.9.x and older remain vulnerable, sinceApple decided not to patch these versions . We recommend that all users upgrade to 10.10.3.