24 janeiro 2015

Depois do Windows, Google descobre falha no Mac OS


O Project Zero, do Google, disparou suas baterias contra o Windows na semana passada, causando certa comoção na Microsoft, que reclamou do fato de eles terem exposto a falha antes de sua correção. Agora chegou a vez da Apple. E são logo três falhas graves.

Alguns dirão que não são tão graves assim, já que, nos três casos é necessário o prévio acesso às máquinas onde roda o sistema, para que a falha seja explorada, mas, ainda assim, são três falhas graves sim, porque permitem a elevação de privilégios, dando controle do sistema a quem as explore, mesmo que o usuário logado não tenha permissões de sistema para tanto.

A primeira falha está ligada a versões do sistema que estejam ligadas em rede, e permite que usuários enviem comandos arbitrários ao daemon do sistema, assumindo diretamente o controle sem verificações de segurança(!).

A segunda e a terceira se referem ao Kernel diretamente, permitindo a execução de códigos maliciosos localmente ou alterações diretas na memória do computador, o que permitiria fazer coisas como travar o computador, acessar dados sensíveis ou, até mesmo, alterar o sistema para a execução de códigos externos.

A-do-ro a Apple, mas se isso não é grave, pohãn, então eu não sei o que é grave!
A depender do tipo de ataque que se faça, as falhas são exploráveis, como demonstrou o próprio Project Zero, ao publicar uma forma de exploração do bug(!).

Informações preliminares dão conta de que uma das falhas pode ser resolvida com a atualização do OS X Yosemite, mas não é possível confirmar a informação, pois nem Google nem Apple a confirmam diretamente.

Antes que os fanboys se irritem: assim como aconteceu com a Microsoft, o Project Zero informou à Apple sobre as falhas em outubro do ano passado, seguindo sua política de conceder 90 dias às empresas para a solução de problemas graves de segurança antes de publicar as falhas encontradas.

E lembre-se: se você encontrar alguma matéria nova em ~certos blogs~ sobre este assunto (que eles ainda não abordaram), aproveite para informar aos comentaristas que o Trollcnologia está ensaiando sua volta, em fase experimental até terça-feira. E que já está chutando algumas bundas como amostra grátis! XD

MRJ

Nenhum comentário:

Postar um comentário