El bug sigue activo ya que Apple ha sobrepasado el periodo de 90 días del que disponía para arreglarlo antes de hacerse público. No es la primera vez que sucede algo parecido entre Google y Apple y que afecta a miles de usuarios, en este caso no ha sido una negligencia completa por parte de Apple pero sigue siendo grave. El bug destapado permite a un atacante modificar una imagen de disco a través de la cual luego es capaz de aprovecharse del sistema de gestión de memoria. La razón por la que esto es tan grave es que los usuarios utilizan imágenes de disco a todas horas y macOS no comprueba esas imágenes cada vez que las vuelve a cargar para así poder optimizar y gestionar mejor su memoria limitada. Por esa misma razón el equipo no va a tener ni idea de que esta copiando código modificado y potencialmente malicioso.
 |
Figura 1: macOS Sierra |
Esto es tan peligroso como suena, Project Zero dice que Apple ya fue avisado hace tiempo y que planea arreglarlo en una futura actualización de macOS, a pesar de que ya hayan pasado más de 90 días y se haya hecho público. Varios desarrolladores están trabajando con Apple en la elaboración de un parche, pero todavía no hay una fecha estimada para su lanzamiento. Aparte de este incidente Apple se ha estado enfrentando a bastantes críticas durante los últimos meses, ya que varios usuarios reportaron fallos en FaceTime y hasta que no tuvo una gran repercusión mediática no se le prestó atención. También, el mes pasado el investigador Linus Henze protestó contra Apple por no ofrecer un programa de recompensas para macOS y amenazó a la compañía con no compartir con ellos la información relativa a un bug que había encontrado.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...