iTunes 10.5.1 corrige vulnerabilidad conocida desde 2008

Francisco Amato de Infobyte descubrió en el verano de 2008 un problema de falta de comprobación en los procesos de actualización de un gran número de programas muy conocidos.

Creó una herramienta llamada Evilgrade para “envenenar” el proceso de actualización de múltiples programas, que carecían de las comprobaciones de seguridad necesarias para hacerlo. Entre ellos OpenOffice, Java (JRE), Notepad++, Winamp… Este “framework” permitía de manera muy sencilla instalar cualquier binario en el sistema cuando una de estas aplicaciones se actualizaba o comprobaba una actualización.

Para que “Evilgrade” sea efectivo, es necesario realizar previamente un ataque de “man in the middle”, o sea, interceptar de alguna forma el tráfico de la víctima. Esto es posible a través de pharming, envenenamiento DNS… entre otras técnicas. “Evilgrade” fue desarrollado muy poco después de que Dan Kaminsky descubriera el devastador y universal fallo inherente al protocolo DNS que permitía falsificar las respuestas DNS. Esto suponía una combinación muy peligrosa.

Evilgrade ya va por su versión 2.0, aparecida en octubre de 2010 y permite aprovechar el proceso de actualización de hasta 63 aplicaciones. Según la propia página del proyecto, para “mostrar la cantidad de errores triviales que hay en el proceso de actualizaciones de aplicaciones muy importantes”.

A esta vulnerabilidad en el caso de iTunes, se le asignó el identificador CVE-2008-3434. En ese momento iTunes se encontraba en su versión 6.0.5.20. La forma de arreglar el fallo ha sido tan sencilla como añadir conexión segura a la hora de comprobar las actualizaciones válidas. Esto es, autenticando al servidor a través de HTTPS. En OS X se incluyen otras “defensas en profundidad”.

Todavía existen muchos programas que continúan con estos errores en el  delicado proceso de actualización.

Oficial Security update:

Evilgrade 2.0

Sergio de los Santos

Twitter: @ssantosv