Propietarios de MacBook, tomen nota: es posible que su computadora portátil no esté protegida contra ataques maliciosos.
Los investigadores de seguridad del equipo Project Zero de Google revelaron hoy una vulnerabilidad de "alta gravedad" en el sistema operativo de escritorio macOS de Apple. El enorme agujero en las defensas de macOS podría permitir a un atacante explotar un sistema sin que la víctima lo sepa.
La vulnerabilidad de día cero proviene de la copia en escritura, un proceso permitido por el kernel XNU de Apple que funciona con memoria anónima y mapeo de archivos. Según una publicación de Google en Monorail, la memoria que se copia en macOS no está protegida adecuadamente contra modificaciones, por lo tanto, el proceso de copia en escritura puede explotarse para copiar código potencialmente peligroso.
"Esto significa que si un atacante puede mutar un archivo en el disco sin informar al subsistema de administración virtual, esto es un error de seguridad", escribieron los investigadores de Google.
Google informó a Apple de la falla en noviembre de 2022-2023 a 2022, pero el gigante de Cupertino no pudo lanzar un parche antes de que expirara el plazo de 90 días. Los expertos en seguridad describieron la vulnerabilidad como de "alta gravedad".
"Hemos estado en contacto con Apple con respecto a este problema, y en este momento no hay ninguna solución disponible", escribieron los investigadores. "Apple tiene la intención de resolver este problema en una versión futura, y estamos trabajando juntos para evaluar las opciones para un parche. Actualizaremos esta entrada de seguimiento de problemas una vez que tengamos más detalles".
No está claro cuántos sistemas, si es que hubo alguno, se han visto afectados por la falla. Además de las acciones estándar que uno puede tomar para proteger su computadora portátil, los usuarios de MacBook solo pueden cruzar los dedos para que pronto llegue una actualización con una solución.
Si el Proyecto Cero de Google suena familiar, es porque este equipo de investigadores jugó un papel decisivo en el descubrimiento del ataque de seguridad Meltdown a principios del año pasado.
Nos hemos comunicado con Apple sobre la vulnerabilidad de copia en escritura y actualizaremos esta publicación si recibimos una respuesta.