Conecta con nosotros

Noticias

Google revela tres vulnerabilidades O-Day en OS X

Publicado el

O-Day en OS X

O-Day en OS X

El Project Zero creado por Google para buscar vulnerabilidades en todo tipo de software, ha publicado tres vulnerabilidades 0-Day encontradas en el sistema operativo OS X de Apple.

MS Recomienda

Aprende a realizar streaming de vídeo de forma eficaz Leer
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

Como vemos, Google no se limita a publicar las vulnerabilidades Windows que han provocado un fuerte debate en Internet y ahora toca OS X bajo las mismas políticas de Project Zero: informar a las compañías de las vulnerabilidades encontradas y revelarlas una vez pasado un plazo establecido en 90 días. 

La primera vulnerabilidad afecta al servicio XPC de networkd, que es el demonio que usa OS X para manejar las redes. La segunda vulnerabilidad afecta a la ejecución de IO/Kit, que se encuentra en el kernel, debido a que una referencia a un puntero nulo en el componente de IntelAccelerator. La tercera y última hace referencia también a IO/Kit, pero en este caso es una corrupción de memoria provocada por el uso de la conexión a través Bluetooth.

Como en el caso de Microsoft con las vulnerabilidades en Windows, Apple no ha parcheado las vulnerabilidades en Mac OS X lo que seguirá alimentando la polémica de la política empleada, revelando las mismas con pruebas de explotación una vez pasado el plazo de tres meses, estén o no parcheadas.

Al contrario que Microsoft, Apple no ha entrado en el fondo manteniéndose en su política de seguridad: “Por la protección de nuestros clientes, Apple no divulga, debate, ni confirma problemas de seguridad antes de hacer una investigación completa, ni antes de que los parches necesarios o lanzamientos estén disponibles. Apple generalmente distribuye información sobre problemas de seguridad en sus productos a través de este sitio y una lista de correo.”

¿Es una irresponsabilidad de Google revelar vulnerabilidades sin parchear? ¿90 días deberían ser suficientes para que Microsoft parchee este tipo de vulnerabilidades? ¿Google debería esperar a la publicación del parche más allá del periodo fijado o es la única manera que se corrijan en un tiempo determinado? El debate continúa.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído