Apple está tomando medidas para mitigar una importante vulnerabilidad de seguridad en su sistema Mac OS X.

El investigador alemán Stefan Esser expuso la falla de día cero en la última versión de OS X, reveló cómo los hackers pueden inyectar malware y adware en el sistema operativo Mac sin necesidad de una contraseña.

La falla se deriva de un error en la función Imprimir a un Archivo del sistema que concede a atacantes cibernéticos acceso privilegiado a un sistema al permitir que un programa malicioso pueda imitar al administrador del sistema de archivos.

El error se ha corregido en la versión beta de OS X El Capitán, según Esser, a pesar de haber contactado a Apple sobre la falla, la empresa no parece haberlo arreglado en otras versiones.

"Por el momento no está claro si Apple sabe acerca de este problema de seguridad o no, ya que, si bien ya se ha corregido en las primeras versiones beta de OS X 10.11, se deja sin parchar en la versión actual de OS X 10.10.4 y en la actual beta de OS X 10.10.5", dijo. Sin embargo, Esser explicó que podría ser simplemente "el resultado de un código de limpieza y no de la realización de acciones de seguridad". 

Mientras tanto, un investigador de Malwarebytes reveló que la falla está siendo explotada en el campo pues descubrió que su 'sudoers' (el archivo que gestiona permisos del sistema) se había modificado mientras probaba un instalador de adware. "El cambio realizado por el script permite ejecutar comandos de shell como administrador usando sudo, sin el requisito habitual de introducir una contraseña", dijo.

"Entonces, el script utiliza el comportamiento del nuevo usuario sin contraseña de sudo para lanzar la aplicación VSInstaller, que se encuentra en un directorio oculto en la imagen de disco del instalador, dándole permisos de superusuario y por lo tanto la capacidad de instalar cualquier cosa en cualquier lugar."