(Por El Microsaurio) Hace menos de un mes los amigos maqueros debieron emparchar sus equipos por culpa de malwares y fallas de programación varias. Hubo más fallas, y Apple respondió esta vez a las necesidades de sus clientes, el jueves pasado, un poco más rápido que en otras ocasiones. Pero el diablo metió la cola, y una de las actualizaciones se peleó con una instalación de PGP, transformando unas cuantas MacBook en costosos ladrillos inservibles. Enterate del contenido de las actualizaciones de seguridad, y de la historia de horror…
La actualización se publicó el 23, y solucionó poco menos de 40 problemas de programación, que abrían 29 puertas a los atacantes (las vulnerabilidades, caramba) La actualización anterior había aparecido el 31 de mayo.
Apenas puesto el software en los servidores de descarga, encontramos quejas en este foro de usuarios de La Manzanita. Abreviando, varios propietarios de unas mononas MacBook se quejaron de que “la máquina no reinició luego de descargar la actualización al sistema operativo 10.6.8 (…) no sirvió de nada reiniciar desde el DVD del sistema (…) mi máquina ahora no es nada más que un ladrillo (…) gracias, Apple, felicitaciones (textual)”.
En otro foro, donde suelen postear novedades empleados gubernamentales que usan Mac, “alguien” informó “…cuidado, los problemas aparecen si están usando PGP WDE 10.0.3…” sugiriendo que la instalación del nuevo sistema operativo había “pisado” un componente de criptografía ubicado en el área de arranque… Hmmm. Espero que lo solucionen, pobre gente.
El conjunto de parches, diseñado como una actualización del sistema operativo, y llamado oficialmente Security Update 2011-004, habrá dejado en tu preciosa Mac la versión 10.6.8 del OS X (apenas un poco más de 400 megas…) Fue necesario distribuirla a los usuarios de las versiones Server y desktop para solucionar las siguientes fallas de programación:
- AirPort – cuando se lo usa con Mac OS X v10.5.8 y Mac OS X Server v10.5.8, un atacante ubicado en la misma red Wi-Fi puede producir un reseteo del sistema. La versión 10.6 del OS X no está afectada.
- App Store – están afectados quienes lo usen con OS X v10.5.8 para Mac OS X de escritorio o Server, y desde el 10.6 hasta el 10.6.7, escritorio o Server. Ojo con esto: “en ciertas circunstancias el password del usuario no estará disponible (…) esto se ha solucionado mediante una mejora en el manejo de credenciales…” O sea que “antes” no estaba correctamente manejada???!!!! Cuidado con la billetera. La verdadera, no la virtual.
- Administrador de fuentes True Type – Abrir un documento donde se emplee una fuente de ese tipo, que haya sido convenientemente modificada, posibilitará que un atacante pueda ejecutar… lo que se le cante. Ojo, la vía de acceso puede ser un material de trabajo llegado por email.
- Certificate Trust Policy (política de confianza en certificados) – En “determinadas condiciones” un atacante podría hacer que una máquina dé por válido un certificado revocado, ya que el sistema operativo no comparaba ese certificado con la Lista de Revocados.
- ColorSync – al abrir una imagen “maliciosamente construida” (Apple dixit) con cierto perfil ColorSync, puede colgarse la máquina o se podría ejecutar código a voluntad del atacante.
- CoreFoundation – una falla en CoreFoundation Framework puede causar que un atacante haga colgar la máquina o pueda ejecutar código a su voluntad.
- CoreGraphics – abrir un archivo PDF maliciosamente construido podría causar que un atacante haga colgar la máquina o ejecute código a voluntad.
- QuickLook – Descargar un archivo malicioso de Microsoft Office podría causar el cuelgue de una aplicación o la ejecución de código malicioso. Cierto, esto se parece cada vez más a un boletín de Microsoft Windows…
- QuickTime (varias vulnerabilidades) Se pueden utilizar como vía de ataque archivos WAV, películas QuickTime, o imágenes PICT y JPEG. Las abrís desde tu mac no actualizada, y se cuelga (en el mejor caso) o un atacante ejecuta código dañino.
- FTP Server: orbiamentE (como díría cesaR brutO) ésta es para los administradores de servidores. Un usuario podría listar directorios que no le pertenecen (hmmm…). Solucionado, che.
- Sistema ImageIO: problemas al abrir imágenes TIFF y JPEG2000. Otra vez, “un atacante podría…” eso de más arriba, incluido el zapatazo.
- MobileMe: un atacante podría leer los nombres de usuario de correo empleados en ese servicio
- Problemas varios con las implementaciones Mac de MySQL, OpenSSL, Samba. Esos están relacionadas con defectos de programación de las aplicaciones mencionadas, los desarrolladores de Apple esta vez son inocentes.
Como para que vean que en todas partes se cuecen habas. Como escribí muchas veces, amigos maqueros, bienvenidos al mundo real.