Conecta con nosotros

Noticias

Google revela tres vulnerabilidades O-Day en OS X

Publicado el

O-Day en OS X

O-Day en OS X

El Project Zero creado por Google para buscar vulnerabilidades en todo tipo de software, ha publicado tres vulnerabilidades 0-Day encontradas en el sistema operativo OS X de Apple.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

Como vemos, Google no se limita a publicar las vulnerabilidades Windows que han provocado un fuerte debate en Internet y ahora toca OS X bajo las mismas políticas de Project Zero: informar a las compañías de las vulnerabilidades encontradas y revelarlas una vez pasado un plazo establecido en 90 días. 

La primera vulnerabilidad afecta al servicio XPC de networkd, que es el demonio que usa OS X para manejar las redes. La segunda vulnerabilidad afecta a la ejecución de IO/Kit, que se encuentra en el kernel, debido a que una referencia a un puntero nulo en el componente de IntelAccelerator. La tercera y última hace referencia también a IO/Kit, pero en este caso es una corrupción de memoria provocada por el uso de la conexión a través Bluetooth.

Como en el caso de Microsoft con las vulnerabilidades en Windows, Apple no ha parcheado las vulnerabilidades en Mac OS X lo que seguirá alimentando la polémica de la política empleada, revelando las mismas con pruebas de explotación una vez pasado el plazo de tres meses, estén o no parcheadas.

Al contrario que Microsoft, Apple no ha entrado en el fondo manteniéndose en su política de seguridad: “Por la protección de nuestros clientes, Apple no divulga, debate, ni confirma problemas de seguridad antes de hacer una investigación completa, ni antes de que los parches necesarios o lanzamientos estén disponibles. Apple generalmente distribuye información sobre problemas de seguridad en sus productos a través de este sitio y una lista de correo.”

¿Es una irresponsabilidad de Google revelar vulnerabilidades sin parchear? ¿90 días deberían ser suficientes para que Microsoft parchee este tipo de vulnerabilidades? ¿Google debería esperar a la publicación del parche más allá del periodo fijado o es la única manera que se corrijan en un tiempo determinado? El debate continúa.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído