iTunes 10.5.1 corrige vulnerabilidad conocida desde 2008
Se ha publicado la nueva versión de iTunes 10.5.1 que soluciona una
vulnerabilidad en el proceso de actualización conocida desde 2008.
Este problema era fácilmente aprovechado a través del módulo llamado
“Evilgrade”.
Francisco Amato de Infobyte descubrió en el verano de 2008 un problema
de falta de comprobación en los procesos de actualización de un gran
número de programas muy conocidos.
Creó una herramienta llamada Evilgrade para “envenenar” el proceso de
actualización de múltiples programas, que carecían de las comprobaciones
de seguridad necesarias para hacerlo. Entre ellos OpenOffice, Java
(JRE), Notepad++, Winamp… Este “framework” permitía de manera muy
sencilla instalar cualquier binario en el sistema cuando una de estas
aplicaciones se actualizaba o comprobaba una actualización.
Para que “Evilgrade” sea efectivo, es necesario realizar previamente
un ataque de “man in the middle”, o sea, interceptar de alguna forma
el tráfico de la víctima. Esto es posible a través de pharming,
envenenamiento DNS… entre otras técnicas. “Evilgrade” fue desarrollado
muy poco después de que Dan Kaminsky descubriera el devastador y
universal fallo inherente al protocolo DNS que permitía falsificar
las respuestas DNS. Esto suponía una combinación muy peligrosa.
Evilgrade ya va por su versión 2.0, aparecida en octubre de 2010 y
permite aprovechar el proceso de actualización de hasta 63 aplicaciones.
Según la propia página del proyecto, para “mostrar la cantidad de
errores triviales que hay en el proceso de actualizaciones de
aplicaciones muy importantes”.
A esta vulnerabilidad en el caso de iTunes, se le asignó el
identificador CVE-2008-3434. En ese momento iTunes se encontraba en su
versión 6.0.5.20. La forma de arreglar el fallo ha sido tan sencilla
como añadir conexión segura a la hora de comprobar las actualizaciones
válidas. Esto es, autenticando al servidor a través de HTTPS. En OS X
se incluyen otras “defensas en profundidad”.
Todavía existen muchos programas que continúan con estos errores en el
delicado proceso de actualización.
Fuente
Más información:
Oficial Security update:
http://support.apple.com/kb/HT5030
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.