A pesar de que Apple afirmo haber arreglado (parchado) la vulnerabilidad Rootpipe con una actualización de software a principios de abril, un investigador de seguridad ha demostrado que todavía es posible explotarla incluso en una máquina ejecutando la última versión de Mac OS X.
Revelada hace más de seis meses, Rootpipe es una vulnerabilidad en el sistema operativo de escritorio de Apple, Mac OS X, que podría dar un acceso de root al atacante del sistema - aunque para aprovechar plenamente el defecto, un hacker tendría que haber obtenido acceso local al equipo, muy seguramente, explotando alguna vulnerabilidad de otro software primero.
La vulnerabilidad fue descubierta por el investigador de seguridad sueco Emil Kvarnhammar que reportó el problema a Apple, y después de que inicialmente fue ignorado, se le preguntó por el gigante de la tecnología abstenerse de publicar detalles sobre Rootpipe hasta que la compañía fuera capaz de publicar un parche para el software.
En ese momento, Kvarnhammar dijo que su acuerdo con Apple habría sido revelar los detalles a mediados de enero, cuando el gigante de la tecnología emitiría un parche, pero ese parche no llegó hasta abril, un total de seis meses después de que la vulnerabilidad Rootpipe fue notificada por primera vez .
Apple anunció que había parcheado la vulnerabilidad en su actualización de software 10.10.3, sin embargo esto sólo fija el problema para los usuarios que ejecutan Mac OS X Yosemite con Apple diciendo que no iba a estar arreglando el problema para aquellos que utilizan Mac OS X 10.9.x o antes, dejando una gran cantidad de personas vulnerables.
Sin embargo, parece que ahora, Apple ha dejado a todos los usuarios de Mac OS X vulnerable a pesar de la falla.
El investigador de seguridad Patrick Wardle de SYNACK publicó un blog detallando cómo fue capaz de aprovechar la vulnerabilidad en su propio sistema Mac OS X 10.10.3 totalmente actualizado usando un "todavía trivial" método.
Mientras Wardle ha hecho públicos los detalles del metodo, ha publicado el siguiente video que muestra la vulnerabilidad en acción:
Waddle ha proporcionado Apple con los detalles técnicos del exploit, pero la compañía más valiosa del mundo no ha comentado sobre el tema de Rootpipe todavía.
Revelada hace más de seis meses, Rootpipe es una vulnerabilidad en el sistema operativo de escritorio de Apple, Mac OS X, que podría dar un acceso de root al atacante del sistema - aunque para aprovechar plenamente el defecto, un hacker tendría que haber obtenido acceso local al equipo, muy seguramente, explotando alguna vulnerabilidad de otro software primero.
La vulnerabilidad fue descubierta por el investigador de seguridad sueco Emil Kvarnhammar que reportó el problema a Apple, y después de que inicialmente fue ignorado, se le preguntó por el gigante de la tecnología abstenerse de publicar detalles sobre Rootpipe hasta que la compañía fuera capaz de publicar un parche para el software.
En ese momento, Kvarnhammar dijo que su acuerdo con Apple habría sido revelar los detalles a mediados de enero, cuando el gigante de la tecnología emitiría un parche, pero ese parche no llegó hasta abril, un total de seis meses después de que la vulnerabilidad Rootpipe fue notificada por primera vez .
Apple anunció que había parcheado la vulnerabilidad en su actualización de software 10.10.3, sin embargo esto sólo fija el problema para los usuarios que ejecutan Mac OS X Yosemite con Apple diciendo que no iba a estar arreglando el problema para aquellos que utilizan Mac OS X 10.9.x o antes, dejando una gran cantidad de personas vulnerables.
Sin embargo, parece que ahora, Apple ha dejado a todos los usuarios de Mac OS X vulnerable a pesar de la falla.
El investigador de seguridad Patrick Wardle de SYNACK publicó un blog detallando cómo fue capaz de aprovechar la vulnerabilidad en su propio sistema Mac OS X 10.10.3 totalmente actualizado usando un "todavía trivial" método.
Mientras Wardle ha hecho públicos los detalles del metodo, ha publicado el siguiente video que muestra la vulnerabilidad en acción:
Waddle ha proporcionado Apple con los detalles técnicos del exploit, pero la compañía más valiosa del mundo no ha comentado sobre el tema de Rootpipe todavía.
