Menú principal

miércoles, 14 de noviembre de 2012

Fallos de seguridad en las webs de Apple

Las webs de Apple de vez en cuando sufren de fallos de seguridad, algunos de los cuales son aprovechados en campañas de distribución de malware, como cuando fue vulnerada en la operación Lizamoon, o por un ataque automatizado de SQL Injection que inyectó scripts en webs de Apple. Otros son simplemente defacements como el que se produjo en edseminars, o el volcado de datos de las webs en ataques de Anonymous dentro de la operación AntiSec.

Figura 1: Webs de Apple infectadas con scripts para distribuir malware

Sin embargo no todos los fallos en las webs de Apple son explotados en ataques, ya que son encontrados por investigadores de seguridad y reportados a la compañía para que los solucionen. Apple tiene una web en la que da crédito y agradece la colaboración de los investigadores, y puede verse en el artículo de la Knowledge Base HT1318.

Figura 2: Artículo HT1318

Desde Informática64 intentamos colaborar con Apple, y le hemos reportado ya un total de 12 fallos de seguridad en webs de la compañía. 4 de ellos se los reportamos en el año 2011, donde había fallos de configuración y vulnerabilidades XSS. Este año le reportamos el descubrimiento con FOCA PRO de 4 ficheros .SVN/Entries de los cuales uno de ellos llevó a descubrir una shell de comandos bastante peligrosa. A parte de estos 8 bugs, también le reportamos la existencia de BlackSEO de Viagra en su web, un fallo de mod_negotiation y multiple choices y algún que otro fichero .DS_Store en su web que daba más información de la necesaria.

Figura 3: Reconocimiento del reporte por parte de Apple

Si has descubierto algo en Apple.com, no dudes en reportárselo, siempre contestan y de buenas maneras. Eso sí, no esperes recibir un iPad o un iPhone 5 de agradecimiento, que esto lo hace todo el mundo con afán de ayudar.

1 comentario:

  1. Aqui el ultimo que se encontró, por un español http://thehackernews.com/2012/11/xss-vulnerability-in-apple-website.html

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares