Google desvela tres nuevas vulnerabilidades para Mac OSX

El programa Project Zero de Google sigue funcionando a pleno ritmo en su búsqueda de vulnerabilidades, informando de tres fallos de seguridad sin parche en el sistema operativo Mac OS X de Apple, según informan desde Ars Technica.

Tres vulnerabilidades distintas

La primera de estas vulnerabilidades está relacionada con una evasión de comandos en el sistema de red, y explota un error en el manejo de tipos de datos de networkd. Permite la ejecución de comandos bajo el proceso de networkd, el sistema de red, que no se ejecuta en la sandbox sino con un usuario propio. Sin embargo, aun que el fallo está presente en Yosemite, solo puede ser explotado en sistemas Mavericks gracias a las medidas de seguridad adicionales del sistema operativo de Apple más reciente.

El segundo bug podría ser explotado para ejecutar código en el kernel (que tiene acceso a todos los recursos del sistema), ya que está presente en el objeto IntelAccelerator, de la librería IOKit de OS X, y consiste en desreferenciar un puntero nulo para lograr la ejecución de código aleatorio en el kernel.

Finalmente, el tercer exploit tiene que ver con la estructura del kernel de OS X. Cabe destacar que, para aprovechar estos fallos, el atacante debe tener acceso físico al sistema vulnerable, tal como explica CNET.

Project Zero y su cuestionada política de publicación

Google notificó a Apple de estas vulnerabilidades en octubre de 2014, según Engadget, y al cumplirse el plazo de 90 días ha publicado los detalles a pesar de que todavía no se haya lanzado un parche. Esto estrategia de revelación de vulnerabilidades ya ha sido cuestionada con anterioridad, como cuando se revelaron detalles de los fallos de seguridad en Windows 8.1 y que podían hacer que los usuarios de nivel más bajo obtuvieran el control administrativo total de un equipo, antes de que Microsoft publicara una solución.

Entonces, Google ya se enfrentó a algunas críticas por revelar detalles de vulnerabilidades en forma automática, 90 días exactos después de su descubrimiento. Sin embargo, el Ingeniero de Seguridad de Google Ben Hawkes defendió la filosofía de Project Zero y afirmó: “Project Zero cree que los plazos de publicación son actualmente la mejor aproximación para la seguridad del usuario. Le da a los fabricantes de software una cantidad de tiempo justa y razonable para ejercitar su proceso de manejo de vulnerabilidades, al tiempo que respeta los derechos de usuarios a aprender y entender los riesgos a los que se enfrentan”.

Pero como afirma la página de seguridad de Apple, la compañía no comenta problemas de seguridad hasta que se confirme la existencia de amenazas y estas se mitiguen, o se solucionen. “Para proteger a nuestros clientes, Apple no revela, discute o confirma problemas de seguridad hasta que se haya hecho una investigación completa y los parches o actualizaciones necesarios estén disponibles”, sostiene.

Josep Albors a partir de un post de Alan Martin