Snow Leopard, el nombre en clave que Apple ha dado a su Mac OS X 10.6 instala una versión antigua y vulnerable de Adobe Flash Player. Incluso si el usuario ya poseía la última versión de Flash Player, al actualizar el sistema operativo, quedaría otra vez vulnerable con la versión 10.0.23.1 de Adobe, que contiene fallos de seguridad conocidos.
La actual versión de Flash es la 10.0.32.18. Apple ha incluido en su última actualización del sistema operativo (lanzado el 28 de agosto), la 10.0.23.1 y la instala sin avisar aunque se posea una versión no vulnerable. El «downgrade» se hace de forma totalmente silenciosa para el usuario. Para solucionarlo, se debe acudir a la página oficial de Adobe y descargar la última versión a mano.
En este nuevo Mac OS X también se ha incluido un rudimentario sistema «antivirus». Tan rudimentario que parece reconocer solo dos familias de malware que suele atacar al sistema operativo de Apple y solo comprueba las descargas por Safari. No limpia el sistema ni nada parecido, solo aconseja de la peligrosidad del archivo. Es un movimiento que ha causado cierta sorna entre la industria. Realmente es un gesto que debe valorarse positivamente, pero de poca utilidad real. Apple ha realizado por fin un movimiento claro en contra del malware que ataca a su sistema operativo, y aunque resulte un gesto infantil, casi ingenuo, puede marcar una nueva forma de afrontar la seguridad en Mac OS X a largo plazo, al asumir por fin el malware como uno de los potenciales frentes que debe combatir. El gesto tiene poca utilidad real porque resulta trivial eludir esa mínima protección, pero «algo es algo».
En este «despiste» por parte de Apple a la hora de ofrecer una versión de Flash, se unen dos de las compañías que más problemas de seguridad están sufriendo en estos tiempos: Apple y Adobe. Adobe con sus esfuerzos por gestionar la seguridad ahora que se enfrenta a ella de un modo más serio, y Apple con su eterna lucha para solucionar problemas a tiempo. Por poner algunos ejemplos de los fallos de organización que han sufrido: Hace poco, fue la propia Adobe la que ponía a disposición de los usuarios una versión vulnerable de Reader desde su sitio oficial. Subsanó el error cuando fue duramente criticada. Apple, por otro lado, en su macro-actualización de mayo corregía 67 vulnerabilidades pero dejaba sin solución un grave problema en el JRE (Java Runtime Environment) que llevaba oficialmente corregido seis meses. Lo solucionó semanas después.
Otro error de seguridad cometido por Apple, según Chester Wisniewski de Sophos, es que con esta actualización al nuevo Leopard, se deshabilita sin previo aviso la contraseña del salvapantallas, con lo que el usuario deberá activarla de nuevo a mano.
ssantos@hispasec.com
Más información:
How the Anti-Malware Function in Apple?s Snow Leopard Works
http://blog.intego.com/
Apple ships a known vulnerable version of Flash with Snow Leopard
http://www.sophos.com/blogs/chetw/g/2009/09/02/snow-leopard-downgrades-security-misses-opportunity-improve/
Snow Leopard downgrades security and misses opportunity to improve
http://www.sophos.com/blogs/chetw/g/2009/09/02/snow-leopard-downgrades-security-misses-opportunity-improve/
20/05/2009 Mac OS X no corrige una grave vulnerabilidad en Java Runtime Environment solucionada hace 6 meses
http://www.hispasec.com/unaaldia/3861
Deja una respuesta