El equipo de seguridad de Google, Project Zero, esta semana ha divulgado al público varias vulnerabilidades de seguridad descubiertas en OS X, unos tres meses antes fueron compartidas con Apple (según informa Ars Technica). Aunque Apple no ha comentado oficialmente sobre estas cuestiones, parece que una ya ha sido parcheada, y todo apunta a que las dos restantes se corregirán con OS X 10.10.2, que está actualmente en manos de los desarrolladores.
OS X 10.10.2 solucionará los problemas de seguridad publicadas por Project Zero de Google
Project Zero trabaja para descubrir vulnerabilidades de seguridad de diferentes sistemas operativos y software, dando a sus propietarios un aviso de 90 días para arreglar los problemas antes de publicar sus hallazgos al público. En su margen de beneficio OS X de Apple, ha solucionado los problemas de corrupción de memoria, ejecución de código en el kernel, y un escape de sandbox fueron descubiertos por el equipo. Ars Technica escribe:
A primera vista, ninguno de ellas parece ser muy crítica, ya que las tres parecen requerir que el atacante disponga de algún tipo de acceso a una máquina específica…
Aún así, las hazañas podrían combinarse con otro ataque para elevar los privilegios de menor nivel y ganar control sobre Macs vulnerables. Puesto que las revelaciones contienen una prueba de código de explotación, proporcionando detalles técnicos suficientes para que hackers experimentados puedan realizar asaltos maliciosos utilizando las vulnerabilidades previamente desconocidas.
Como en el plazo de 90 días terminó la semana pasada, el grupo comenzó a publicar sus hallazgos por la red. Las notas de Google sugieren que una de las vulnerabilidades, se solucionó con el lanzamiento de OS X Yosemite, mientras que las otras dos han permanecido sin resolverse. Pero como también ha señalado iMore, OS X 10.10.2 ha sido actualizado e incluye correcciones para los dos vulnerabilidades restantes expuestas por Project Zero:
Sobre la base, la última versión de OS X 10.10.2, enviada el Miércoles a los desarrolladores, Apple ya ha eliminado todas las vulnerabilidades mencionadas anteriormente. Eso significa que las correcciones estarán disponibles para todo el mundo, que actualice a OS X 10.10.2 Yosemite.
Project Zero de Google ha revelando vulnerabilidades significativas de seguridad durante varios meses, descubriendo algunas importantes para Windows y compartirlas en línea. El proyecto arroja luz sobre soluciones muy necesarias de distintos sistemas operativos, pero a veces socava el punto de seguridad, como en el caso de Windows que es el sistemas más vulnerable y que con el conocimiento de Microsoft podría correctamente haberlo arreglarlo antes de su publicación.
La ventana de 90 días que se pretende dar a las compañías antes de la difusión de una vulnerabilidad, para solucionar los problemas a la vez que se les da incentivos para hacerlo en el momento oportuno, parece que no es suficiente.