Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mac pierde la apuesta y un exploit afecta a Windows
 
VSantivirus No 2429 Año 11, martes 24 de abril de 2007

Mac pierde la apuesta y un exploit afecta a Windows
http://www.vsantivirus.com/24-04-07.htm

Por Angela Ruiz
angela@videosoft.net.uy


La semana pasada, Apple publicó un nuevo paquete de actualizaciones para Mac OS X, el cuál incluía 25 parches de distinta importancia. Algunas de las vulnerabilidades corregidas permitían la ejecución de código.

Apenas se publicaron, TippingPoint, una empresa perteneciente a 3Com, lanzó un desafío: 10,000 dólares para el primero que pudiera hackear un Mac con estos parches instalados.

Todo surgió en las conferencias de CanSecWest, celebradas en Vancouver, Canadá. Al principio, los organizadores pensaron en premiar a quien pudiera vencer la seguridad de un Mac con un MacBook, la computadora portátil de Apple. Pero para algunos, ello tenía poco interés, y por esto, el sitio mencionado antes también ofreció la jugosa recompensa en dólares a quien lo lograra.

Apenas unas horas después, un investigador de seguridad llamado Dino Dai Zovi, descubrió una vulnerabilidad y desarrolló un exploit, reclamando el premio mayor.

Poco después Shane Macaulay, otro investigador, desarrolló otro exploit para crear un shell remotamente accesible en un Mac completamente actualizado, ganándose el premio del MacBook ofrecido por los organizadores de CanSecWest.

Según Macaulay, todos los equipos con Mac OS son vulnerables actualmente, tengan o no instalados los últimos parches.

Irónicamente, el vector de vulnerabilidad, afecta también a Windows, siempre que se tenga instalado el reproductor QuickTime, de Apple.


Conclusiones:

- La vulnerabilidad y el exploit de Dino Dai Zovi, se concentra en el manejo de Java en QuickTime.

- Cualquier navegador con Java habilitado, es un vector de ataque, siempre que el equipo tenga instalado QuickTime (QuickTime es nativo en Mac OS, y puede ser instalado por el usuario en Windows).

- Firefox y Safari son vectores de ataque confirmados en Mac (Intel).

- Firefox es un vector de ataque en Windows (con QuickTime instalado).

- Deshabilitar el uso de Java es la única manera de evitar esta vulnerabilidad en Mac.

- En Windows, se recomienda desinstalar QuickTime.


Relacionados:

Vulnerabilidad en QuickTime mediante Java
http://www.vsantivirus.com/vul-quicktime-230407.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS