guía de compras navideñas

Parche de Apple para Macs contra Bash está incompleto: experto

Apple lanzó un correctivo para el fallo que podría dar acceso a 'hackers' a computadoras Macintosh, pero un experto dice que el parche solo corrige dos de tres huecos.

Apple lanzó una corrección para Bash, también conocido como Shellshock, un fallo de seguridad que podría permitir a los hackers tener acceso a algunas computadoras Macintosh. Pero un experto en seguridad dijo el martes que el parche de Apple está incompleto y deja una vulnerabilidad abierta.

appcybersecurity300x225.jpg

Bash afecta la mayoría de las computadoras en el mundo que ejecutan Unix y Linux, incluyendo el sistema operativo OS X de Apple que funciona en las Macs. El fallo, que existe desde hace 25 años, le permite a un código potencialmente dañino que corra dentro de una cáscara bash (bash shell), que es una interfaz común y simple para emitir comandos a la computadora. El fallo Shellshock tiene el potencial de usarse para acceder a información sensible o asumir el control de una computadora.

Tod Beardsley, un gerente de ingeniería de la firma de seguridad Rapid7, le dijo la semana pasada a CNET que Bash es extremadamente peligroso, porque es fácil de vulnerar y podría darle a los hackers la capacidad de tomar el control de las Macs. Algunos investigadores han dicho que es, por lo menos, tan peligroso como Heartbleed, una vulnerabilidad igualmente extendida que se descubrió a principios de año.

osx-shellshock-bashcheck.png
El trabajo del investigador de seguridad de Rapid7, Greg Wiseman, muestra que OS X Mountain Lion está abierto a una tercera vulnerabilidad de Bash.Foto de Captura de pantalla por Seth Rosenblatt/CNET

Apple corrigió vulnerabilidades esta semana, pero se descubrió una tercera vulnerabilidad de Shellshock en OS X por otro investigador de seguridad de Rapid7, Greg Wiseman. Wiseman dice que corrió un código para poner a prueba las vulnerabilidades de Bash/Shellshock y halló que incluso después de instalar el parche de Apple sobre OS X Mountain Lion (que fue lanzado en 2012), el sistema operativo aún quedó susceptible a otra vulnerabilidad. La vulnerabilidad, CVE-2014-7186, es un fallo que podría permitir ataques de Denegación de Servicio (Denial of Service o DoS), que podría evitar que una Mac se conectara a redes locales o a Internet.

Apple no contestó una solicitud de CNET para hacer comentarios.

La empresa dijo la semana pasada que solo los dueños de Mac que usan ajustes avanzados de Unix estaban en peligro de ser afectados. "Bash, una cáscara de comandos y lenguaje Unix incluida en OS X, tiene una debilidad que podría permitir a usuarios no autorizados obtener control remoto de sistemas vulnerables", dijo Apple. "Con OS X, los sistemas están seguros por defecto y no están expuestos a la explotación remota de Bash a menos que los usuarios puedan configurar los servicios avanzados de Unix".

Apple lanzó un parche el lunes por la tarde, cinco días después de que se comenzara a hablar del fallo. El parche de Apple corrige dos vulnerabilidades de Bash, conocidas como CVE-2014-7169 y CVE-2014-6271.

La corrección de Apple no ha sido añadida aún al servicio de actualización de software de las Macs, que habilita las actualizaciones en las computadoras automáticamente. Por ahora, los usuarios de Macs necesitan ir al sitio de Apple y descargar los parches para OS X Lion (10.7), OS X Mountain Lion (10.8) y OS X Mavericks (10.9).

Si quieres saber qué versión de OS X ejecuta tu Mac, ve al Menú de la manzanita en la esquina superior izquierda de tu pantalla y haz clic en "Sobre este Mac".