Aunque parezca ridículo, hay quien niega que exista malware para Mac. Incluso, quien sostiene que en Apple hacen sistemas operativos inmunes. Si bien no merece la pena desmentir este evidente bulo, sí que sería necesario aclarar un par de puntos.

Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, que juega en otra liga, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. O sea, “ahí fuera” y no en laboratorios (donde se han creado pruebas de concepto para todos los sistemas operativos) existe malware creado específicamente para Mac OS del que se lucran los atacantes.

Consultando a la base de datos de VirusTotal de los últimos 30 días (y entendiendo estos datos siempre con cierta cautela) realizaríamos la siguiente clasificación:

• Malware para Windows: 1.480.971 muestras únicas.
• Malware para Mac OS: 298 muestras únicas.
• Malware para Linux: 219 muestras únicas.
• Malware Android: 117 muestras únicas.
• Malware Symbian: 54 muestras únicas.
• Malware para iPhone: una única muestra.

Estos son muestras únicas llegadas a VirusTotal en el último mes y detectadas por más de cinco motores antivirus por firmas. Hay que tener en cuenta muchos factores como por ejemplo que las firmas para sistemas diferentes a Windows no están tan entrenadas en todos los motores, pero da una buena idea de la diferencia de órdenes de magnitud. Por ejemplo, si Windows cuenta ahora mismo con un 88% de cuota de mercado y Mac OS con un 5%, la cantidad de malware único no se ajusta en absoluto a esa proporción. El malware para Mac representa un 0,02% de las muestras únicas recibidas. En otros términos, por cada 5.000 muestras únicas de malware recibidas para Windows, se recibe sólo una destinada a Mac. Como dato adicional, la mayoría de esas casi 300 muestras son variantes de MacDefender, que se ha propagado con fuerza en los últimos días. Quizás en otros momentos los datos varíen.

El sistema móvil para el que se crea más malware es Android, con diferencia con respecto a iOS. Aquí es curioso como iOS de iPhone e iPad, siendo mucho más utilizado que Android (2,24% frente al 0,66% de uso), está por detrás en cuestión de malware. La razón es sencilla: iOS es un sistema “cerrado” donde todo el software es firmado y las descargas más o menos verificadas. Esto le libra del malware “masivo”, aunque por ello pierde “flexibilidad” para el usuario. Sin embargo, tras años en el mercado, siguen existiendo vulnerabilidades en iOS para eludir su “cierre” y realizar un “jailbreak”. Con cada nueva versión, intentan cerrar una puerta… pero siempre existen. Estos fallos los podría aprovechar el malware.

Ningún sistema operativo es inmune. Olvidamos que un troyano es un programa como otro cualquiera y sólo la voluntad de programarlo es lo que le separa de que se haga realidad. Lo único que diferencia al malware de cualquier otro software es que intenta instalarse silenciosamente en el equipo bien a través de la ingeniería social (engañando al usuario) bien a través del aprovechamiento de vulnerabilidades. Si hablamos de vulnerabilidades, Apple es un “experto”. En 2010 Oracle y Apple superaron en número de fallos de seguridad a Microsoft. Este año Adobe también está escalando puestos. No se puede crear un programa o sistema operativo inmune a nada. Y aunque fuese posible, los atacantes aprovecharían el desconocimiento del usuario para que él mismo instalara el malware. Por tanto, no hay “escapatoria”.

Continuaremos en una próxima entrega.

Más Información:

Secunia: Apple software has the most holes

http://news.cnet.com/8301-13846_3-20011403-62.html

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv

Esta actualización, publicada como actualización de seguridad 2011-001, corrige 53 fallos en los siguientes componentes y servicios: AirPort, Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Los problemas podrían permitir a un atacante local o remoto acceder a información sensible, evitar restricciones de seguridad, provocar condiciones de denegación de servicio o llegar a comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

http://support.apple.com/downloads/

Más Información:

About the security content of Mac OS X v10.6.7 and Security Update 2011-001

http://support.apple.com/kb/HT4581

Fuente: Hispasec.com

Miller revelará los fallos en la CanSecWest security conference de Vancouver. Ha encontrado 30 vulnerabilidades en total (críticas, o sea, que permiten ejecución de código) en cuatro lectores de PDF y PPT. El peor parado es la aplicación “vista previa” (Preview) de Apple. Esta aplicación permite visualizar de forma simple diferentes formatos de archivos en Mac OS. 20 de estos fallos permiten ejecución de código con solo procesar ficheros PDF especialmente manipulados. Puesto que Safari puede procesar PDF con la vista previa al visitar una web, los fallos son aprovechables con solo visitar una página.

Lo más curioso es la forma en la que Miller ha encontrado las vulnerabilidades. Puso a prueba cuatro programas: Adobe Reader, la vista previa de Apple, PowerPoint y OpenOffice. Con un script en python de 5 líneas, modificaba un bit de un fichero PDF o PPT y se lo pasaba a los diferentes lectores. Así, en tres semanas, consiguió 1.000 formas diferentes de hacer que los programas dejasen de responder (1.000 denegaciones de servicio). Pero cuando estudió algunas de ellas detenidamente, sacó 30 vulnerabilidades que permiten la ejecución de código. El peor parado, sin duda, la vista previa de Apple con 20 de esos errores. Esto no significa que PowerPoint, OpenOffice o Adobe Reader (este último, especialmente) no contenga más vulnerabilidades que las encontradas por Miller. Cabe recordar que el investigador es especialista en Mac y probablemente se haya centrado en este software para encontrar las 20 vulnerabilidades críticas.

Miller se queja de la seguridad de Apple. Todavía no sabe si pondrá a prueba a la compañía para comprobar cuánto tardan en solucionar los errores. Es más, se sorprende de que una sola persona consiga encontrar tantos fallos en casa armado exclusivamente con un script muy sencillo, mientras que compañías como Apple (con decenas de ingenieros de software) parecen no haber realizado este tipo de pruebas antes o no haber llegado a prevenirlas de alguna forma.

Miller seguirá investigando, y espera que algunos de estos fallos sean reproducibles en el iPhone. Apple debe dar un giro hacia la seguridad como prioridad en sus productos antes de que el popular teléfono se convierta en objetivo de los atacantes. A pesar de haber sufrido innumerables reveses en cuestión de seguridad, de haberse hecho públicos errores avergonzantes, y de cmantener una política de seguridad muy cuestionable, Apple sigue priorizando el diseño y la funcionalidad, dejando quizás un poco de lado la cada vez más necesaria seguridad. Adobe (en plena crisis en este aspecto) está reaccionando con anuncios de mejora en sus métodos de actualización, entre otras medidas. ¿Para cuándo Apple?

Más Información:

Researcher Will Expose 20 Hackable Apple Security Flaws

http://blogs.forbes.com/firewall/2010/03/16/researcher-will-expose-20-hackable-apple-flaws/

Sergio de los Santos
ssantos@hispasec.com

Según informa Help Net Security, habría sido descubierto un gusano (virus, malware ) que aprovecha un descuido en la configuración de ciertos dispositivos – IPhone o IPod Touch – que han sido jailbreakeados (liberados) y que no han cambiado la clave por defecto del SSH. Este se dedica a cambiar el fondo de pantalla por una imagen del cantante Rick Astley con la frase “ikee is never going to give you up“, haciendo alusión a la canción “Never Gonna Give You Up” generalmente utilizada para rickrollear gente en Internet.

El problema reside en que la mayoría de los usuarios descarga el paquete SSH desde Cydia para poder conectarse al teléfono y modificar archivos, y deja la clave por defecto “alpine”. Cualquier persona que conozca tu dirección IP podría acceder remotamente como usuario root si así lo deseara.

Este gusano creado por “ikee” no parece ser más que una prueba de concepto, pero hay que tomarlo muy en serio y no confiarse tanto. Para cambiar esta clave solo basta conectarse al dispositivo y escribir el comando passwd; es recomendable utilizar algo complejo pero que puedan recordar luego. La otra opción es bajarse la aplicación MonileTerminal desde Cydia y ejecutar ese comando solamente.

Vía Help Net Security

Versiones Afectadas
Se ven afectadas por esta vulnerabilidade las versiones de:
Apple iTunes 9.x (para Windows y Mac)

Detalle
Un error de límite al manipular archivos “.pls” podría ser aprovechado para causar un desbordamiento de búfer. Esto podría permitir ejecutar código en forma arbitrario.

Impacto
El impacto de esta vulnerabilidad es MODERADO.

Recomendaciones
Se recomienda actualizar a Apple iTunes 9.0.1

Referencias
Más información sobre esta alerta:

Aviso Original

http://support.apple.com/kb/HT3884

Secunia

http://secunia.com/advisories/36744

Fuente: ArCERT

El troyando en cuestión es ‘OSX.RSPlug.D’ según Intego, el especialista de seguridad que descubrió la amenaza. Afirma que es una variante de un viejo programa malicioso con un nuevo instalador. “Es un downloader, y contacta con un servidor remoto para descargar los archivos e instalarlos [...] Esto significa que, en el futuro, el downloader podría ser capaz de instalar otro tipo de programas aparte del que actualmente instala“. En el resto de características el troyano es similar a las previas versiones de RSPlug, que empezó su andadura en octubre de 2007, instala un programa DNSChanger, que redirige el tráfico de Internet del usuario a través de un DNS malicioso llevando a los usuarios finales a sitios de phising o a páginas de anuncios.

Intego afirma que el troyano OSX.RSPlug.D ha llegado esta semana junto con otra amenaza distinta, OSX.TrojanKit.Malez según Intego y según Symantec y Trend Micro, OSX.Lamzev. En esta ocasión se trata de una aplicación hacker diseñada para crear e instalar puertas traseras. Sin embargo la compañía afirma que no es una amenaza seria dado que el potencial de la misma se basa en el acceso físico al sistema a infectar.

Empresas de seguridad ya llevan anunciando desde hace tiempo que la plataforma Mac no es tan segura como los usuarios creen, de momento Apple no ha respondido a dicha afirmación.

Fuente:

http://www.theinquirer.es/2008/11/23/mac-os-x-bajo-ataque-van-dos-esta-semana.html

Los problemas de seguridad solucionados podrían ser aprovechados por un atacante local o remoto para conducir ataques de cross-site scripting, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio, y más de la mitad de ellos, podrían permitir la ejecución de código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-007, disponible para Tiger y Leopard, se incluyen parches para Finder, QuickLook, ColorSync, además de para múltiples componentes de código abierto integrados por Apple, como pueden ser ClamAV, MySQL o Apache Tomcat.

A continuación se analizan las distintas vulnerabilidades solventadas en la última actualización de Mac OS X, comenzando por las de mayor relevancia:

* Actualización de seguridad de Apache a la versión 2.2.9 que solventa múltiples vulnerabilidades, siendo la más grave susceptible de ser utilizada en ataques de cross-site scripting. La versión 2 de Apache está incluida en los sistemas Mac OS X Server 10.4.x, pero no viene activada por defecto.

* Actualización de ClamAV a la versión 0.93.3 que soluciona varias vulnerabilidades, entre ellas una que podría permitir la ejecución de código de forma remota.

* Un desbordamiento de búfer en ColorSync que podría permitir la ejecución de código por medio de una imagen que contenga un perfil ICC.

* Un desbordamiento de memoria intermedia en la codificación del formato de imagen SGI, usadas por el filtro de conversión de imagen imagetops en CUPS. Un atacante podría crear una imagen SGI especialmente manipulada que le podría permitir ejecutar código con permisos del usuario “lp” al imprimirla.

* Desbordamiento de búfer basado en heap en libxslt, que podría permitir la ejecución de código al abrir una página HTML especialmente manipulada.

* Actualización de seguridad a la versión 5.0.67 de MySQL Server, que solventa múltiples problemas de seguridad que podrían ser aprovechados para causar una denegación de servicio o ejecutar código arbitrario.

* Actualización de PHP a la versión 4.4.9 que soluciona varios problemas de seguridad que podrían permitir la ejecución remota de código.

* Desbordamiento de búfer en PSNormalizer al procesar un archivo PostScript especialmente manipulado.

* Denegación de servicio o ejecución remota de código causada por un intento de acceso a memoria fuera de los límites en QuickLook.

* Actualización a la versión 7.2.0.22 de vim que soluciona una posible ejecución de código arbitrario.

* Actualización de seguridad a la versión 6.0.14 de Apache Tomcat que soluciona múltiples vulnerabilidades.

* Certificates ha añadido numerosos certificados de confianza a su lista, y ha actualizado los existentes a su versión más reciente.

* Denegación de servicio en Finder a través de un archivo especialmente manipulado situado en el escritorio.

* Corregido un fallo en launchd introducido por la última actualización de seguridad de Leopard.

* Escalada de privilegios en Networking causada por un desbordamiento de búfer basado en heap.

* Solucionado un posible salto de restricciones de seguridad en Postfix.

* Posible salto de restricciones de seguridad en rlogin.

* Un usuario local podría ganar los permisos de otro usuario por medio de Script Editor.

* Se ha modificado el comando sso_util de Single Sing-On para que pueda aceptar contraseñas desde un archivo.

* Salto de restricciones de seguridad en Weblog.

Teniendo en cuenta las críticas que ha recibido Apple por publicar sus parches sin previo aviso, y también que la última macroactualización (Security Update 2008-006) fue lanzada hace menos de un mes ¿debería Apple subirse al carro de las actualizaciones programadas tal y como ya hacen Cisco, Oracle o Microsoft?

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Apple Security Update 2008-007 Server (Universal) :

http://www.apple.com/support/downloads/securityupdate2008007serveruniversal.html

Apple Security Update 2008-007 Server (PPC) :

http://www.apple.com/support/downloads/securityupdate2008007serverppc.html

Apple Security Update 2008-007 Client (PPC) :

http://www.apple.com/support/downloads/securityupdate2008007clientppc.html

Apple Security Update 2008-007 Client (Intel) :

http://www.apple.com/support/downloads/securityupdate2008007clientintel.html

Apple Security Update 2008-007 Server (Leopard) :

http://www.apple.com/support/downloads/securityupdate2008007serverleopard.html

Apple Security Update 2008-007 Client (Leopard) :

http://www.apple.com/support/downloads/securityupdate2008007clientleopard.html

Más Información:

About Security Update 2008-007

http://support.apple.com/kb/HT3216

Actualizaciones previas:

21/09/2008 Nueva macroactualización de seguridad para Mac OS X

http://www.hispasec.com/unaaldia/3620/nueva-macroactualizacion-seguridad-para-mac

06/08/2008 Detalles sobre la macroactualización de seguridad para Apple
Mac OS X

http://www.hispasec.com/unaaldia/3574

03/07/2008 Actualización de seguridad para Mac OS X corrige hasta 25
vulnerabilidades

http://www.hispasec.com/unaaldia/3540

Pablo Molina
pmolina@hispasec.com

Apple lanzo un parche el pasado 31 de Julio para resolver la vulnerabilidad DNS descubierta por Dan Kaminsky, pero como se descubrió luego dicho parche solo arreglaba el problema del lado servidor y no del cliente como habría informado SANS Institute en su momento.

Según Andrew Storms (nCircle), la actualización liberada por Apple estaría realizando la aleatorización de puertos necesaria para dificultar los ataques por envenenamiento de cache. También han sido solventadas algunas fallas en otros componentes comunes de Mac OS como Finder, Time Machine, el núcleo de Mac OS y algunos componentes de código abierto, incluyendo Ruby ClamAV y OpenSSH; sumando así un total de 25 errores corregidos con esta actualización.

Vía | infoworld.com

La nueva versión de la aplicación ya ha puesto en jaque la actualización de Apple que eliminaba la posibilidad de hacer jailbreak a los dispositivos. Con ella se puede hacer jailbreak, instalando Cydia installer e Installer 4 Beta en todos los dispositivos y liberando el iPhone original.

La liberación del modelo 3G aún no es posible, pero según afirma el iPhone-dev Team es algo que están estudiando aún.

Casos como éstos dan mucho que pensar. Si en lugar de jugar al gato y al ratón en cualquier plataforma, ya sea PSP, nintendo DS, cualquier teléfono móvil, etcétera, cerrando la plataforma, se diera cierta libertad se podría explotar todo el potencial de las mismas. Hay que fijarse en todas las comunidades que surgen alrededor de dispositivos, toda la “scene” y la cantidad de programadores que implementan funciones ocultas o nuevas que dotan a los dispositivos de nuevas características. Si se pudiera canalizar todo el esfuerzo en la misma dirección… Pero al fin y al cabo, volvemos a lo de siempre, dinero, ganancias, control.

Enlaces relacionados:

http://blogs.zdnet.com/Apple/?p=2116

http://blog.iphone-dev.org/post/45276976/good-morning

Fuente:

http://www.theinquirer.es/2008/08/10/pwnagetool-202-ve-la-luz-iphone-3g-sigue-temblando.html

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Como ya se informó, ésta actualización incluye un parche para BIND destinado a mitigar los efectos de la vulnerabilidad de falsificación de DNS descubierta por Kaminsky. Por otra parte, los clientes DNS de Apple siguen sin implementar la contramedida recomendada, que consiste en introducir más aleatoriedad en los puertos de origen de las peticiones. El resto de grandes fabricantes de sistemas operativos sí que han implementado dicha contramedida en sus parches, disponibles desde el pasado 8 de julio.

El resto de vulnerabilidades corregidas, que afectarían a Mac OS X 10.4.11 y Mac OS X 10.5.4, son las siguientes:

* Una vulnerabilidad en CarbonCore al procesar nombres de archivos demasiado largos que podría causar una desbordamiento de pila que permitiría la ejecución de código arbitrario.

* Múltiples errores de corrupción de memoria en CoreGraphics que podrían causar que la aplicación dejase de responder y permitir la ejecución de código.

* Un error en CoreGraphics al procesar archivos PDF que contengan la fuentes “Type 1″ podría permitir la ejecución de código arbitrario.

* Múltiples errores en QuickLook al descargar archivos de Microsoft Office. Un atacante podría corromper la memoria pudiendo ejecutar código arbitrario.

* Un error en el motor Data Detectors al visualizar un mensaje especialmente manipulado podría causar el consumo de grandes cantidades de memoria y provocar el cierre de la aplicación.

* Un error en Disk Utility permitiría que un usuario local escalase privilegios.

* Un error en OpenLDAP al procesar paquetes codificados con ASN.1 BER podría causar una denegación de servicio.

* Un error de límites en la función SSL_get_shared_ciphers en OpenSSL podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

* Múltiples vulnerabilidades en PHP 5.2.5 que podrían ser aprovechadas para saltarse restricciones de seguridad, causar una denegación de servicio o ejecutar código arbitrario.

* Escalada de privilegios a través de las librerías de Open Scripting Architecture.

* Dos errores en Rsync al manejar vínculos simbólicos podrían ser aprovechados para saltarse restricciones de seguridad.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde los siguientes enlaces:

Security Update 2008-005 Server (PPC):

http://www.apple.com/support/downloads/securityupdate2008005serverppc.html

Security Update 2008-005 Server (Intel):

http://www.apple.com/support/downloads/securityupdate2008005serverintel.html

Security Update 2008-005 (PPC):

http://www.apple.com/support/downloads/securityupdate2008005ppc.html

Security Update 2008-005 (Intel):

http://www.apple.com/support/downloads/securityupdate2008005intel.html

Security Update 2008-005 (Leopard):

http://www.apple.com/support/downloads/securityupdate2008005leopard.html

Más información

About Security Update 2008-005

http://support.apple.com/kb/HT2647

Apple’s DNS Cache Poisoning Patch Leaves Users at Risk

http://www.palluxo.com/2008/08/02/apple-dns-cache-poisoning-patch-leaves-users-at-risk/

01/08/2008 Apple, último en publicar parche para la grave vulnerabilidad DNS

http://www.hispasec.com/unaaldia/3569

03/07/2008 Actualización de seguridad para Mac OS X corrige hasta 25 vulnerabilidades

http://www.hispasec.com/unaaldia/3540

Pablo Molina
pmolina@hispasec.com