Apple hoy confirmado a TechCrunch que el actualización de software macOS 11.3 recién lanzada parchea una vulnerabilidad de seguridad que, según se informa, podría haber permitido a un pirata informático acceder de forma remota a los datos confidenciales de un usuario engañándolo para que abra un documento falsificado.
'Todo lo que el usuario tendría que hacer es hacer doble clic, y no se generan avisos ni advertencias de macOS', dijo el investigador de seguridad Cedric Owens, quien descubrió la vulnerabilidad a mediados de marzo, según el informe. Owens desarrolló una aplicación de prueba de concepto que se hace pasar por un documento inofensivo que aprovecha el error para iniciar la aplicación Calculadora, pero dijo que la vulnerabilidad podría explotarse para fines más nefastos.
Según el investigador de seguridad Patrick Wardle, la vulnerabilidad fue el resultado de un error lógico en el código subyacente de macOS.
'En términos simples, las aplicaciones macOS no son un solo archivo, sino un conjunto de archivos diferentes que la aplicación necesita para funcionar, incluido un archivo de lista de propiedades que le dice a la aplicación dónde se encuentran los archivos de los que depende', explica TechCrunch . 'Pero Owens descubrió que sacar este archivo de propiedades y construir el paquete con una estructura particular podría engañar a macOS para que abra el paquete y ejecute el código en su interior sin activar ninguna advertencia'.
Además de corregir el error en macOS 11.3, Apple dijo TechCrunch parcheó versiones anteriores de macOS para evitar abusos y actualizó el sistema antimalware integrado de macOS XProtect para evitar que el malware aproveche la vulnerabilidad. El informe dice que el error se aprovechó durante meses, pero no está claro cuántos usuarios se vieron afectados.
Entradas Populares