miércoles, 15 de febrero de 2017

Apple publica una nueva actualización de seguridad para GarageBand

Hace menos de un mes Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Lamentablemente el problema no quedó totalmente solucionado, y se hace necesaria una nueva actualización.

GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.

De nuevo es Tyler Bohan del equipo Cisco Talos el que reporta el problema, que reside en una escritura fuera de límites al tratar archivos de proyecto específicamente creados y que da lugar a condiciones explotables. También confirman que la vulnerabilidad es resultado de una corrección incompleta del fallo anterior.

"This vulnerability is the result
of an incomplete fix of bug id
TALOS-2016-0262 / CVE-2017-2372.
"

Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.6 para solucionar el problema descrito.

Como ya hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.

Más información:

About the security content of GarageBand 10.1.6

About the security content of GarageBand 10.1.5

una-al-dia (20/01/2017) Ejecución remota de código en Apple GarageBand

TALOS-2017-0275
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

TALOS-2017-0262
Apple GarageBand Out of Bounds Write Code Execution Vulnerability



Antonio Ropero
Twitter: @aropero