El Mac, crackeado en una conferencia de seguridad. en Noticias

eraser 26 abr 2007 12:34

Valar Morghulis

28.964 mensajes
y 1 foto
desde nov 2000
en Casi omnipresente

faqmac escribió:El acontecimiento de Vancouver, Colombia Británica, había establecido una competición para intentar y lograr el acceso al nivel de usuario en Mac OS X sobre una red inalámbrica, que se llevo a cabo con éxito después de que los anfitriones del concurso simplificaran las reglas y permitieran que los expertos de seguridad atacaran a través del código enviado por sitios web maliciosos en vez de comprometer directamente al propio OS.
El hack que tuvo éxito fue escrito por el investigador de Matasano Security, Dino Dai Zovi, y puesto en práctica por el ingeniero Shane Macaulay, el equipo combinado al que le llevó nueve horas hacer el trabajo del abuso para el navegador de Safari incorporado de Apple. Los gerentes de CanSecWest no proporcionaron detalles, pero confirmaron que el hack había sido genuino.
Fuente: MacNN

Creo que ahora queda un poco más claro

evilbug 26 abr 2007 16:09 *

unknown

1.083 mensajes
desde jun 2003
en Vigo

Editado 1 vez. Última: 26/04/2007 - 16:13:01 por evilbug.

eraser escribió:
Creo que ahora queda un poco más claro

Cuánto maquero incondicional hay por el mundo suelto...

xDDD (sin ofender eh

)

fuente escribió:Algunos asistentes piensan que no ha sido una coincidencia el hecho de que Apple haya publicado una nueva actualización de seguridad para 25 vulnerabilidades del Mac OS X el pasado jueves.

Ivaner 28 abr 2007 16:15

Entre dos tierras

4.643 mensajes
desde sep 2001
en Mallorca

sacado de bandaancha.st

En el contexto de la conferencia CanSecWest 2007, celebrada en Canadá, se realizó el concurso “Hack a Mac”, en el que se premiaba con el propio MacBook a quien fuese capaz de comprometerlo de forma remota con privilegios de root. Tras relajar las reglas para facilitar que alguien consiguiese el premio y aumentar el incentivo, los ganadores han obtenido no sólo el Mac, sino 10.000 dólares. Planean ganar otros 10.000 a través de otras iniciativas privadas. Shane Macaulay y Dino Dai Zovi consiguieron ejecutar código a través de Safari con privilegios del usuario que lanzase el navegador. En principio las reglas del concurso eran más estrictas: se pretendía que alguien ejecutase código con privilegios de root de forma remota sin necesidad de actividad alguna por parte del "atacado". Nadie fue capaz de conseguirlo en el tiempo estipulado, así que se permitió que el ataque se perpetrara a través de cierta interactuación de la víctima (visitando páginas) y añadieron 10000 dólares de premio al incentivo inicial (que consistía en ganar la propia máquina comprometida, un MacBook con Mac OS X 10.4.9). Los investigadores descubrieron y prepararon en cuestión de horas un exploit funcional a través de una página web manipulada. Al ser visitada por Safari, se ejecutó código y consiguieron el premio que se elevó a 10.000 dólares y el propio ordenador.

Además la vulnerabilidad no estaba en Safari..

Si no en el java del Quicktime.. Y afecta a más navegadores en Mac OS X aparte de Safari, de hecho, es una vulnerabilidad también presente en el Quicktime de Windows que afecta a Internet Explorer..

El hecho de entrar en una web específica es casi igual que si el usuario ejecuta una aplicación que sea un troyano... Si no se consiguen privilegios de root tiene poca importancia la verdad...

Lo que está claro es que cada vez se está más expuesto en lo que a seguridad se refiere, no solo por el sistema operativo, si no por las aplicaciones instaladas..

Sacan agujeros de seguridad de debajo de las piedras

Vulnerabiladades como ésta son difícil de combatir.. Sobre todo para quien tiene muchas aplicaciones/plugins instalados...

Las aplicaciones a la fuerza tienen que poder escribir en directorios del usuario.. Y código o aplicaciones 100% perfectas nunca vamos a tener..

Que complejo esto de la seguridad informática..

usuarios: wenmusic y coolkamio