Un ejemplo de cómo Apple quiere maquillar vulnerabilidades en su software (Safari 4.0.5)

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección «Manzanas Traigo», dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat «Kernel Panic», sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo «Apple Security».

Hasta ahí todo normal, me digo; «nada, lo publico en Daboweb ahora», pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero «muy repetitivos» y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa «pseudo-sección» dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y «por qué» se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor «Webkit» visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y «torpedos» de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en «Top Sites» o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan «sutiles» para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de «Hala, sé feliz produciendo que nosotros nos preocupamos de todo».

Y luego vienen los disgustos porque claro, cuando no dices claramente «Actualiza que puede ser que dejes de producir tan felizmente», el usuario medio puede pensar «No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?».

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • rafa espada

    No entiendo… el único problema que veo es que la información en castellano no está colocada todavía… ¿?¿?¿?¿?

    En la nota técnica http://support.apple.com/kb/HT4070 está todo, pero claro… en castellano no todavía. Pero quién lee notas técnicas y de seguridad en castellano? :-P

    El mensaje podría ser otro… pero el 95% de la gente no se los lee… así que podría poner cualquier cosa… el caso iba a ser el mismo.

  • rafa espada

    Ojo!!! creo que Apple tiene que mejorar muchas cosas como bien dices, en transparencia sobre todo… pero esta entrada criticas mensajes dirigidos a los usuarios «normales» que pasan de todo, incluso la gente de Firefox… en la que la información inicial es más escueta que esta y luego te manda a la lista de bugzilla… que ya me dirás que usuario entiende eso…

    Este es el mensaje de Firefox:

    What’s New in Firefox 3.5.8
    Firefox 3.5.8 fixes the following issues found in previous versions of Firefox 3.5:
    Fixed several security issues.
    Fixed several stability issues.

    Y unos links… se puede ser más escueto?

    :-P

  • dabo

    Rafilla seamos serios bro ;) ese enlace a la nota técnica no es el que pone Apple en el aviso, ese está en la info ampliada que he puesto en Daboweb y que me llegó al mail vía su lista de correo…

    A esa nota no se llega desde la info del update que da Apple vía Actualizacion de Software.

    Un abrazo ;)

  • rafa espada

    A esa nota se llega desde el enlace que aparece en la actualización si utiliza Mac OS X en inglés. En castellano es la que has puesto … en inglés es sin el «locale» ese.

    http://support.apple.com/kb/HT1222 y ahí está la primera en la que se explica todo, lo que es puesto en Daboweb. A mi hace años que me dijeron que los OS se hacen en inglés… los otros idiomas son «apaños» y la de problemas que me he ahorrado.

    :-P

    Esta claro que en castellano no se publican muchas de las cosas… estará mal (aunque yo creo que no), pero es así. Ningún gran fabricante de software tiene un buen apartado técnico en nada que no sea inglés. Ni firefox, ni debian, ni Apple ni MS, ni nadie. Y ya de foros ni te cuento.

    Insisto… no te quito razón en que Apple debería más transparente… pero no creo que tengas razón en este post. :-P

  • dabo

    Rafilla es que tu eres muy pro xD anda que tenerlo en Inglés…Todo es mejorable, eso es cierto, pero sólo quería hacer una reflexión en voz alta sobre como se tratan estas cuestiones

    Por cierto, a día de hoy sigue sin estar esa información en el enlace que ellos mismos dicen, en castellano que hasta donde yo sé, es el idioma que usan el 99 % de los usuarios ;)

  • rafa espada

    El 99% de qué usuarios utilizan el castellano? ni siquiera el 99% de los usuarios en castellanoparlantes… utiliza el castellano como idioma en el OS, no soy el único raro que utiliza el OS en inglés.

    :-P

  • dabo

    Valeee Rafa, venga entonces mejor diré que salvo los que lo tengáis en Inglés xD

Comentarios cerrados.