Menú principal

sábado, 24 de enero de 2015

Google Project Zero publica tres 0days y un exploit de OSX

Project Zero
El equipo de Google dentro de Zero Project tiene como objetivo encontrar vulnerabilidades en el software que utiliza la compañía internamente. Creado a raíz de los grandes bugs descubiertos el año pasado como HeartBleed, Go To Fail o ShellShock, el grupo de investigadores dedican su esfuerzo a buscar 0days en software de terceros. Entre los fallos descubiertos se han hecho notorios los de Windows y ahora los que se acaban de publicar para OS X. Esta publicación trae polémica, ya que el grupo solo da 90 días al fabricante para que los arregle después de notificárselo, lo que para muchos de ellos no les parece suficiente.

Entre los 0days publicados para OS X hay uno que, aunque afecta a OS X Yosemite solo es explotable en OS X Mavericks debido a las medidas de mitigación de la última versión de OS X Yosemite. Los otros dos bugs afectan a todas las versiones ya que tienen que ver con el módulo BlueTooth del sistema, lo que hace pensar que sean formas diversas de explotar los bugs de crash que fueron publicados hace poco.

- OS X networkd "effective_audit_token" XPC type confusion sandbox escape (with exploit)
- OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator
- OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice

De momento no hay solución por parte del fabricante así que habrá que esperar a que Apple saque una actualización de seguridad de OS X Mavericks y OS X Yosemite, ahora forzada por esta publicación de bugs desde Google Project Zero.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares