Apple ha publicado en las principales listas de seguridad el Apple-SA-2012-20-8-1 para anunciar la disponibilidad de una actualización de seguridad de Apple Remote Desktop 3.6.1, el cliente de escritorios remotos o servidores de terminales, en la que se arregla un único bug de seguridad, descubierto por un estudiante de la Universidad de Central Connecticut State llamado Mark S.C. Smith y catalogado con el CVE-2012-068.
Según la información disponible en el artículo de la Knowledge Base HT5433, el bug permite, cuando se conecta la aplicación Apple Remote Desktop a un servidor VNC de terceros con la opción de cifrar todos lo el tráfico de red. Si dicho cifrado no se produce, no se muestra ningún aviso y las comunicaciones se hacen en claro, pudiendo llevar a un descubrimiento de información sensible por la red. El fallo se ha solucionado añadiendo un túnel SSH para la conexión VNC en la configuración, y evitando la conexión si dicho túnel no puede ser creado.
El bug no afecta a las versiones Apple Remote Desktop 3.5.1 o inferiores y está solucionado en Apple Remote Desktop 3.6.1, que puede ser descargado desde: Descargar Apple Remote Desktop 3.6.1. Si usáis este cliente, os recomendamos que lo actualicéis cuanto antes.
No hay comentarios:
Publicar un comentario