Noticias y Alertas
Header

Google expone tres vulnerabilidades críticas 0-Day en Mac OS X

enero 27th, 2015 | Posted by kwelladm in Alertas

Después de exponer tres vulnerabilidades críticas 0-Day en Microsoft Windows, el programa de investigación Google Project Zero ha revelado la existencia de tres vulnerabilidades 0-Day en Mac OS X de Apple.

Lo publicado expone suficiente información como que para un atacante experimentado pueda explotar la vulnerabilidad.

El primer bug, OS X networkd ‘effective_audit_token’ XPC type confusion sandbox escape, permite que un atacante pueda pasar comandos arbitrarios al demonio “networkd” del sistema operativo OS X, porque no comprueba correctamente las entradas.

La segunda y tercera vulnerabilidad están relacionados con el kernel. El fallo, ofrece a los usuarios locales la posibilidad de poder ejecutar código con acceso root -elevación de privilegios-.

Finalmente da a un atacante la posibilidad de escribir en la memoria, permitiendo potencialmente acceder a datos privados.

Las tres vulnerabilidades requieren acceso físico a la computadora. Sin embargo, la preocupación principal es que los exploits podrían combinarse en un ataque para elevar privilegios y ganar control sobre las Macs vulnerables.

Google ha creado Pruebas de Concepto (PoC) y el código de explotación se encuentra disponible y proporciona suficientes detalles técnicos para planificar un ataque efectivo. Google informó los defectos en forma privada el pasado 20, 21 y 23 de octubre y después de la expiración del período de divulgación de 90 días, la compañía publicó todos los bugs.

Apple aún no ha proporcionado los detalles. Sin embargo, en la página de seguridad producto, afirman que no “revelan, discuten o confirman cuestiones de seguridad hasta que realicen la investigación completa”.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario