Menú principal

jueves, 10 de abril de 2014

Revisa si tu version de OpenSSL en OS X sufre Heartbleed

El caos de la seguridad en Internet con Heartbleed llegó esta semana, aunque llevaba mucho más tiempo entre nosotros, para dar mucho que hablar. La vulnerabilidad CVE-2014-0160 permite a un atacante extraer una porción de memoria del proceso de OpenSSL. ¿Esto afecta a todo el mundo? La realidad es que no, solo a ciertas versiones de la popular herramienta - que son muchas -.

Existen ciertos scripts que han sido automatizados para extraer continuamente fragmentos de memoria, consiguiendo recopilar todo lo que pasaba en ese instante por esa zona de memoria.

Y... ¿Apple? En los sistemas de Apple la vida ha seguido igual como si nada de esto hubiera pasado. Todo se resume en que la solución de Apple es distinta, y solo la instalación de una aplicación de terceros o modificación de la actual de Apple haría que empezara a ser vulnerable. Entonces se puede decir que los sistemas operativos de Apple no están directamente relacionados con la vulnerabilidad.

Apple y su política... ¿separatista?

Cuando han salido vulnerabilidades de Java, Apple a veces era vulnerable y otras no, debido a que mantienen una versión paralela a la que proporciona el propio Oracle. En el caso de OpenSSL ocurre algo de manera muy similar. Apple mantiene una versión anterior de OpenSSL, la cual no es vulnerable al fallo. Por esto los usuarios de Mac pueden estar tranquilos, al igual que los usuarios de iOS, ya que no se utiliza OpenSSL. De todas formas, por si has instalado OpenSSL en tu sistema Mac OS X para hacer SSH o similares, lo mejor es que lo pruebes de la siguiente forma.

Figura 1: Comprobación de versión de OpenSSL

Poco a poco se van solventando los graves problemas de seguridad que han aparecido con esta vulnerabilidad en Internet. La tendencia es que la vida de la vulnerabilidad, una vez conocida y debido al impacto en la sociedad de Internet que ésta ha tenido, sea corta. Esta semana las gentes de IT se han ganado el salario y nosotros ya hemos añadido la detección de esta vulnerabilidad a nuestro software de pentesting persistente Faast.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares