- Otras noticias
Elevación de privilegios local a través de ld.so en Sun Solaris.jpg)
Aumentan los gusanos que se aprovechan de MSN Messenger
El Swizzor fue el malware de mayor propagación de 2006
Mozilla publica accidentalmente nombres y contraseñas de 44.000 usuarios
Aumentan los troyanos en la red
Corel y Panda sellan una alianza en materia de seguridad
1 de cada 14 programas que descargamos, contiene malware
Error de regresión en el kernel Linux resucita una elevación de privilegios
La seguridad de Windows Vista en la mira
Vulnerabilidades en Cisco ASA
- En el foro
-
vulnerabilidades
20 maneras de ejecutar código en un Mac
22 Mar 2010 | HISPASEC.COM
Miller revelará los fallos en la CanSecWest security conference de Vancouver. Ha encontrado 30 vulnerabilidades en total (críticas, o sea, que permiten ejecución de código) en cuatro lectores de PDF. El peor parado es la aplicación "vista previa" (Preview) de Apple. Esta aplicación permite visualizar de forma simple diferentes formatos de archivos en Mac OS. 20 de estos fallos permiten ejecución de código con solo procesar ficheros PDF especialmente manipulados. Puesto que Safari puede procesar PDF con la vista previa al visitar una web, los fallos son aprovechables con solo visitar una página.
Lo más curioso es la forma en la que Miller ha encontrado las vulnerabilidades. Puso a prueba cuatro programas: Adobe Reader, la vista previa de Apple, PowerPoint y OpenOffice. Con un script en python de 5 líneas, modificaba un bit de un fichero PDF o PPT y se lo pasaba a los diferentes lectores. Así, en tres semanas, consiguió 1.000 formas diferentes de hacer que los programas dejasen de responder (1.000 denegaciones de servicio). Pero cuando estudió algunas de ellas detenidamente, sacó 30 vulnerabilidades que permiten la ejecución de código. El peor parado, sin duda, la vista previa de Apple con 20 de esos errores. Esto no significa que PowerPoint, OpenOffice o Adobe Reader (este último, especialmente) no contenga más vulnerabilidades que las encontradas por Miller. Cabe recordar que el investigador es especialista en Mac y probablemente se haya centrado en este software para encontrar las 20 vulnerabilidades críticas.
Miller se queja de la seguridad de Apple. Todavía no sabe si pondrá a prueba a la compañía para comprobar cuánto tardan en solucionar los errores. Es más, se sorprende de que una sola persona consiga encontrar tantos fallos en casa armado exclusivamente con un script muy sencillo, mientras que compañías como Apple (con decenas de ingenieros de software) parecen no haber realizado este tipo de pruebas antes o no haber llegado a prevenirlas de alguna forma.
Miller seguirá investigando, y espera que algunos de estos fallos sean reproducibles en el iPhone. Apple debe dar un giro hacia la seguridad como prioridad en sus productos antes de que el popular teléfono se convierta en objetivo de los atacantes. A pesar de haber sufrido innumerables reveses en cuestión de seguridad, de haberse hecho públicos errores avergonzantes, y de ser mantener una política de seguridad muy cuestionable, Apple sigue priorizando el diseño y la funcionalidad, dejando quizás un poco de lado la cada vez más necesaria seguridad. Adobe (en plena crisis en este aspecto) está reaccionando con anuncios de mejora en sus métodos de actualización, entre otras medidas. ¿Para cuándo Apple?
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
y porque putas no dicen ni mierda ustedes hijos de la gran puta? porque solo a microsoft lo hacen mierda y no a apple? hijos de la gran puta que los parieron coman mierda cabrones!! ,,l,,
no dicen nada porque los tienen idiotizados que apple es lo mejor como un mito y con lo que cuesta una mac me compro un maquinon de la gran puta que le da vueltas a cualquiera
hahahaha ese cabron tiene toda la rason! hahahahahaha