Parece que Apple no comienza el año 2018 con buen pie. Y es que un investigador especializado en seguridad acaba de descubrir y hacer públicos los detalles de una vulnerabilidad del sistema operativo de Apple que estaría aún sin parchear que permite tomar el control completo de un sistema macOS.

En concreto los detalles de todo ello se hicieron públicos el lunes cuando un investigador que utiliza el nombre on-line de Siguza, describía el ataque como un “zero day que permite ejecutar código arbitrario y obtener permisos de root en macOS”. Así, la vulnerabilidad afecta a la obtención de permisos de IOHIDFamily, una extensión del núcleo diseñada para dispositivos de interfaz humana (HID).

El exploit desactiva las funciones de seguridad de protección de integridad del sistema y archivos móviles de Apple y afecta a todas las versiones de macOS y puede acarrear una vulnerabilidad arbitraria de lectura / escritura en el kernel.

Afecta a todas las versiones de macOS

Aunque parte del código compartido por Siguza solo parece funcionar en macOS High Sierra 10.13.1 y versiones anteriores, se cree que podría funcionar también en la última versión, la 10.13.2 con ligeras variaciones.

Sin embargo, lo que más ha llamado la atención es que la vulnerabilidad de la que hablamos existe desde nada más y nada menos que 2002, por lo que podría tener hasta 15 años de antigüedad.

Si a esto le añadimos que hace tan solo un mes salía a la luz  una vulnerabilidad presente en macOS High Sierra que permitía acceder a la configuración del sistema sin contraseña y hacerse con privilegios de administrador, lo cierto es que Apple no pasa por su mejor momento en lo referente a la seguridad de su sistema operativo. Veremos cómo reacciona la compañía de Cook y la rapidez con la que la empresa soluciona estos problemas que podrían afectar a la seguridad de sus usuarios.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario