Son de esas cosas que uno no llega a entender, sé que está muy bien la movida iPhone, Leopard, etc, etc pero…¿Y de lo importante? ¿Qué pasa con ello?
Hay una vulnerabilidad grave en el protocolo Samba bajo OS X que bajo ciertas circunstancias permite ganar privilegios de root (superusuario en un sistema Unix – GNU/Linux) en el sistema afectado.
Como sabréis, Samba lo utilizan muchos usuarios de Mac OS X (sobre todo en entornos corporativos) para compartir archivos con PCs. Puedo citar varios ejemplos de gente que comenta en este blog habitualmente.
Digo que lo utilizan muchos usuarios de Mac OS X compartiendo con Windows dada la noticia, pero Samba lo usamos desde los tiempos para compartir desde GNU/Linux con Windows igualmente.
Pues no sé, parece que lo que vende y da pasta son los Gadgets y las chorradas porque uno alucina cuando lee noticias como estas.
Llego a leer esta información de PCWorld (Link con raducción de Gogle) a través de un enlace en AppleWeblog y me entero de paso que Symantec ha anunciado que en Metasploit ya han incluido el código para explotar la vulnerabilidad.
Informan que ha sido probado con éxito en Mac OS X 10.4.10 y es más efectivo cuando se comparte a través de redes inalámbricas. Asimismo, Symantec recomienda desactivar la compartición a usuarios de Mac OS con Windows hasta que Apple parchee el bug o invitan a compilar en instalar en Mac OS X una versión de Samba que no sea vulnerable.
¿Por qué digo que Apple pasa del bug? porque el día 14 de Mayo ya fue divulgada y parcheada por la comunidad de Samba, según informan en PCWorld, a pesar de informar a Apple del tema, la compañia no se ha dignado a responder a la gente de Samba.
Y no hablamos de pruebas de concepto sino de algo real, reportado a Apple, comprobado e incluido en Metasploit…
Que cada uno saque sus conclusiones, yo os recomiendo parchear Samba lo antes posible manualmente o desactivarlo hasta que Apple se digne a sacar el update de turno…
EDITO PORQUE STEVE JOBS ME HA LEIDO Y YA ESTA EN EL ULTIMO UPDATE DE MAC LO DE SAMBA -;)