El Project Zero de Google publica tres vulnerabilidades Zero Day de OS X (Mac)

El equipo de seguridad de Project Zero, perteneciente a Google, ha publicado la existencia de tres vulnerabilidades Zero Day en OS X, el sistema operativo que usa Apple en sus Macs, siguiendo la tendencia que inició con Windows.

La primera vulnerabilidad afecta al servicio XPC de networkd, que es el demonio que usa OS X para manejar las redes. La segunda vulnerabilidad afecta a la ejecución de IO/Kit, que se encuentra en el kernel, debido a que una referencia a un puntero nulo en el componente de IntelAccelerator. La tercera y última hace referencia también a IO/Kit, pero en este caso es una corrupción de memoria provocada por el uso de la conexión a través Bluetooth.

Aunque los bugs recientes requieren el acceso a un ordenador Mac, cada vulnerabilidad podría contribuir a un intento exitoso de poder elevar los privilegios y así poder controlar el ordenador.

Además el Project Zero muestra pruebas sobre cómo explotar cada una de las vulnerabilidades, habiendo informado antes Apple con 90 días de antelación, pero al no obtener una respuesta por parte de la empresa Cupertino a la hora de corregirlos, ha decidido hacerlas públicas pasado ese periodo de tiempo.

Apple por su parte ha decidido seguir con su política de llevar con discreción este tipo de cuestiones, y en su página de seguridad ha hecho la siguiente afirmación.

“Por la protección de nuestros clientes, Apple no divulga, debate, ni confirma problemas de seguridad antes de hacer una investigación completa, ni antes de que los parches necesarios o lanzamientos estén disponibles. Apple generalmente distribuye información sobre problemas de seguridad en sus productos a través de este sitio y una lista de correo.”

Fuente | ZDNet