...
🧑 💻 Reseñas y noticias del mundo de los programas, coches, gadgets y ordenadores. Artículos sobre juegos y pasatiempos.

Los piratas informáticos ya han pasado por alto la solución de seguridad macOS de emergencia de Apple

1

manzana

Apple parcheó recientemente una vulnerabilidad crítica de macOS que permite a los piratas informáticos ejecutar código arbitrario a través de archivos adjuntos de correo electrónico. Desafortunadamente, este parche es descuidado y extremadamente fácil de eludir. Los propietarios de Mac deben evitar abrir archivos adjuntos de correo electrónico con la extensión inetloc hasta que Apple emita una solución adecuada.

Los archivos de acceso directo a Internet, llamados archivos inetloc en macOS, están destinados a redirigir a los usuarios a páginas web. Puede crear un archivo inetloc arrastrando una URL a su escritorio, por ejemplo. Pero debido a un error en macOS, los piratas informáticos pueden incrustar código utilizable dentro de los archivos inetloc. Este código se ejecuta sin previo aviso cuando se abre un archivo afectado, lo que proporciona una manera fácil de atacar a los usuarios de macOS por correo electrónico.

Programar el exploit requiere poca experiencia informática. Vea, los archivos inetloc contienen URL, que generalmente comienzan con http:// o https://. Pero un descuido de Apple permite que los archivos inetloc apunten a ubicaciones file:// dentro de su sistema informático. Una pequeña línea de código dentro de un archivo inetloc podría permitir que un hacker ejecute software o cargas útiles maliciosas en su sistema.

El investigador Park Minchan descubrió el exploit a principios de esta semana. Apple emitió rápidamente un parche después de que SSD Secure Disclosure informara sobre la vulnerabilidad, aunque varios medios tecnológicos y expertos en seguridad consideran que este parche no es suficiente.

Según lo informado por Ars Technica, el parche de emergencia emitido por Apple evita que macOS ejecute archivos inetloc que comiencen con el prefijo file://. Pero el parche distingue entre mayúsculas y minúsculas. Reemplazar cualquier parte de file:// con una letra mayúscula omite por completo la solución.

Este es un trabajo amateur de Apple. Es el tipo de solución que esperaría de un pasante en una pequeña empresa. Y, francamente, es una señal preocupante que Apple no se toma la seguridad tan en serio como afirma. Supongo que es por eso que no hemos visto la cartelera de "lo que sucede en tu iPhone se queda en tu iPhone" en mucho tiempo.

Fuente: Ars Technica, Apple Insider

Fuente de grabación: www.reviewgeek.com
También podría gustarte Más del autor

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More