 |
Noticias > Notas de prensa | |||||||||||||||||
|
||||||||||||||||||
AVISO DE SEGURIDAD
DE INTEGO – 21 de noviembre de 2007
Exploit: OSX.Exploit.MetaData.B Descubierto: 20 de noviembre de 2007 Riesgo: Bajo Descripción: Mac OS X 10.5 Leopard incorpora un sistema de “cuarentena” que alerta a los usuarios cuando tratan de abrir aplicaciones recibidas a través de Mail, Safari o iChat, o que procedan de imágenes de disco obtenidas mediante dichos programas. También alerta a los usuarios la primera vez que abren cualquier otra aplicación que hayan instalado o añadido manualmente a su carpeta Aplicaciones. Este sistema debería informar a los usuarios de todos los casos en los que se abran ese tipo de archivos ejecutables, pero un fallo en el sistema de cuarentena, descubierto por Heise Security el 20 de noviembre de 2007, puede permitir que los usuarios abran archivos adjuntos potencialmente maliciosos desde Mail. El principio tras este sistema es la base de datos LaunchServices de Leopard, que registra todas las aplicaciones o archivos ejecutables que se añaden a un Mac. No obstante, cuando algunos adjuntos ejecutables llegan por correo electrónico, esta protección no funciona correctamente. El ejemplo de prueba de concepto en este momento es un script de shell en un archivo con una extensión .jpg. El archivo también contiene información tal como una bifurcación de recursos, señalando con qué aplicación debería abrirse (en este caso, Terminal). Además, el archivo cuenta con los permisos de ejecutabilidad necesarios. Dentro de Mail, este archivo muestra un adjunto con un icono JPEG que indica que se abrirá con Vista Previa. Sin embargo, al intentar visualizar el archivo con Quick Look se observa que no se trata de un archivo de imagen:
Un usuario que reciba este archivo podría verse tentado de hacer clic en él para ver qué contiene. Aunque esta prueba de concepto se limita a mostrar un texto en una ventana de Terminal, sería fácil crear un archivo similar con un único comando que, al ejecutarse en Terminal, borrara todos los archivos del usuario.
Cuando un usuario hace clic en un archivo adjunto de un mensaje de correo en Mail, el programa almacena una copia del archivo en la carpeta Librería/Mail Downloads del usuario. Esta carpeta permite entonces que el Finder pueda abrir el archivo. Cuando se reciben archivo malintencionados en Mail que contienen un script y una bifurcación de recursos (donde el recurso “usro” prevalece sobre las preferencias del usuario e indica al Finder que abra el archivo con una aplicación concreta), un usuario puede abrir estos archivos una vez sin que Mac OS X muestre la alerta de cuarentena. Cuando el usuario vuelve a abrir el archivo adjunto más adelante, la alerta aparece, indicando que el archivo podría ser una aplicación, e informando al usuario de que se abrirá con Terminal. El fallo que causa este problema está relacionado con la forma en que Leopard gestiona las cuarentenas. La primera vez que un usuario abre un archivo adjunto, Mail lo abre directamente sin pasar a través del sistema de cuarentena. Al volver a abrir el mismo archivo, Mail ya no lo abre directamente, si no que abre el archivo que había guardado en la carpeta Mail Downloads. Si un usuario recibe un segundo mensaje con el mismo archivo, la situación empeora: no se recibe ningún tipo de alerta. Como el archivo se ha guardado en la carpeta Mail Downloads desde otro mensaje, Mail no trata de abrir el adjunto original, sino que crea una copia del mismo (con nombres del tipo <nombre del archivo adjunto>-1, <nombre del archivo adjunto>-2, etc.) y lo abre sin mostrar ninguna advertencia. Hasta que se corrija este fallo en Mac OS X 10.5, los usuarios corren el riesgo de recibir archivos malintencionados que aparenten ser archivos de imagen y que podrían borrar todos sus archivos o contener troyanos. Es importante que los usuarios no abran archivos procedentes de remitentes desconocidos, sobre todo los recibidos con mensajes de spam. Intego VirusBarrier X4, con sus definiciones de virus del 21 de noviembre de 2007, protege frente a este problema. Dado que este fallo permite que los archivos malintencionados se ejecuten con un solo clic desde Mail, se recomienda a los usuarios que comprueben regularmente si existen nuevas definiciones de virus a través de NetUpdate, a fin de garantizar que están protegidos contra cualquier nueva vulnerabilidad que pueda surgir.
Acerca de Intego La compañía ofrece la gama más amplia de software para proteger el Mac y a sus usuarios de los distintos peligros de Internet. El software y el soporte multilingües de Intego reciben con frecuencia premios y el reconocimiento por parte de revistas especializadas Mac y protegen a más de un millón de usuarios en más de 60 países. La compañía tiene sedes en Estados Unidos, Francia y Japón. Los peligros que acechan en Internet aumentan cada día. Por ello, Intego trabaja sin descanso en el desarrollo de nuevos productos que protejan a los usuarios y sus equipos de las últimas amenazas en materia de seguridad y privacidad. Protegemos su mundo. We protect your world™.
|
  |
