miércoles, 20 de mayo de 2009

Mac OS X no corrige una grave vulnerabilidad en Java Runtime Environment solucionada hace 6 meses

A pesar de que en la última macro-actualización de Mac OS X se han corregido 67 vulnerabilidades, al parecer han dejado sin solución un grave problema en el JRE (Java Runtime Environment) que puede ser aprovechado por atacantes para ejecutar código con solo visitar una página web.

Sami Koivu encontró un problema de seguridad que permitía la ejecución de código en JRE a principios de agosto de 2008. Avisó a Sun, pero no lo corrigieron hasta diciembre de ese mismo año en su Java 6 Update 11. Poco a poco el resto de sistemas que incluyen el motor de Java fueron actualizando, excepto Mac OS X. En su segunda macro-actualización del año (en la que corrige 67 vulnerables, no todas afectan a software que use el usuario medio, pero sí una buena mayoría) no ha cabido una solución para este fallo crítico.

JRE viene activado por defecto en el sistema operativo de Apple. El navegador Safari, por tanto, lo llamará para interpretar páginas que contengan applets. Si se manipula especialmente uno de ellos (el error tiene su origen en la clase java.util.Calendar), se podría ejecutar código en el sistema vulnerable. Los detalles son públicos, existe prueba de concepto (en el apartado de "más información") y por las características de la vulnerabilidad, (el exploit se podría escribir completamente en Java) es portable a casi todas las plataformas y navegadores sin necesidad de que sea modificado. Todos los usuarios pueden actualizar su sistema operativo para estar protegidos, excepto los de Mac OS X.

Mac OS X sigue teniendo mucho que avanzar en cuestión de seguridad y el tratamiento que hace sobre sus actualizaciones y parches. Su política es aglutinar actualizaciones en parches mastodónticos lanzados sin periodicidad fija. Tampoco se caracteriza (ni Sun, todo sea dicho) por ser especialmente rápida a la hora de ofrecer soluciones a sus usuarios. Lo demostró (entre otros ejemplos) en 2008 con la vulnerabilidad en el protocolo DNS descubierta por Kaminsky. Apple fue el último gran fabricante en publicar un parche. Todos los grandes (Microsoft, Cisco, BIND...) sacaron el 8 de julio una solución coordinada a un problema que se había mantenido en secreto desde principios de año. Pero Apple no. Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas después.

Mac OS X quizás no tenga en estos momentos la seguridad como prioridad en su desarrollo. Lo demuestra a través de varias vías: la gravedad de las vulnerabilidades que se encuentran en su software, cómo y cuándo las soluciona y la información que ofrece sobre ellas. A corto plazo, es muy posible que se arrepienta de no invertir desde ya, en una gestión mucho más eficaz de la seguridad en su sistema operativo. Es necesario (y urgente) que se la tome en serio. Microsoft no lo hizo hasta 2002 y todavía está pagando las consecuencias.

Con respecto a la vulnerabilidad, se recomienda deshabilitar el JRE en Mac OS X.


Sergio de los Santos
ssantos@hispasec.com


Más información:

About the security content of Security Update 2009-002 / Mac OS X v10.5.7
http://support.apple.com/kb/HT3549

Calendar bug
http://slightlyrandombrokenthoughts.blogspot.com/2008/12/calendar-bug.html

Critical Mac OS X Java Vulnerabilities
http://landonf.bikemonkey.org/code/macosx/CVE-2008-5353.20090519.html

Mac OS X Includes Known Vulnerable Version of Java
http://www.us-cert.gov/current/index.html#java_vulnerability_affects_mac_os

No hay comentarios:

Publicar un comentario en la entrada