Skip to main content

Fallo de seguridad de Safari permite tomar el control del Mac

Macbook

22/03/2019 - 16:42

Un equipo de investigadores de seguridad ha descubierto dos fallos de seguridad de Safari. Uno de ellos resulta especialmente peligroso, puesto que permite a un atacante tomar el control del Mac por completo.

El hallazgo ha tenido lugar en el marco del Pwn2Own, un concurso dirigido a hackers de sombrero blanco dentro de la conferencia de seguridad CanSecWest que se celebra en Vancouver (Canadá). 

La primera vulnerabilidad detectada es la menos grave de las dos. Se trata de un exploit de tipo zero-day que permite que un atacante pueda escapar del sandbox, la protección que utiliza macOS para evitar que las aplicaciones tengan acceso a los datos del sistema no permitidos, mediante desbordamiento del navegador por fuerza bruta. Al saltarse el sandbox, el atacante tiene la posibilidad de acceder a cualquier información del sistema. 

iMac

Apple iMac

El nuevo Apple iMac es un ordenador All-in-one con pantalla Retina 4K de 21.5 pulgadas, procesador Intel Core i5 de cuatro núcleos a 3 GHz, tarjeta gráfica Radeon Pro, y 8 o 16 GB de RAM. Con un disco duro o SSD de 1 TB.

El equipo que descubrió este exploit, compuesto por Amat Cama y Richard Zhu, consiguió una recompensa de 55.000 dólares por el hallazgo.

El segundo fallo de seguridad de Safari que fue detectado en el concurso resulta más grave y compromete el sistema por completo. Se trata también de un exploit de tipo zero-day y permite al atacante obtener acceso root y kernel del Mac, de forma que es posible tomar por completo el control del ordenador.

Compra el MacBook Air con descuento en Amazon España

No obstante, a pesar de que se trata de un error de seguridad de Safari bastante grave, uno de los bugs utilizados para explotar el problema ya está reconocido por Apple, por lo que la recompensa conseguida es menor. El equipo que lo descubrió, formado por Phoenhex y Qwerty, consiguió 45.000 dólares por su hallazgo. 

La compañía de seguridad Trend Micro es una de las organizadoras de este concurso, y se encarga de notificar a los proveedores afectados de las vulnerabilidades descubiertas por los hackers de sombrero blanco, por lo que Apple ya está al tanto de estos problemas de seguridad en Safari. 

Ver ahora: