La tarde del lunes, Apple lanzó una actualización para las versiones 3.5.X de la aplicación de administración Apple Remote Desktop (ARD) para cerrar un hueco de seguridad conocido.

La versión 3.5.3 de la solución de administración de escritorio para administración remota de sistemas Mac OS X corrige una vulnerabilidad de divulgación de información (CVE-2012-0681) cuando se conecta a servidores VNC de terceros, lo que podría resultar en datos que no están cifrados cuando la configuración "Encrypt all network data" (cifrar todos los datos de la red) está habilitada. Cuando esto sucede, no se presenta algún aviso para alertar al usuario que su conexión podría ser insegura.

El mismo problema fue corregido en las variantes de la versión 3.6 de ARD con el lanzamiento de la versión 3.6.1 a finales de agosto. Sin embargo, ARD 3.6.X solo está disponible para sistemas que corren Mac OS 10.7 Lion o posterior, mientras que la ARD 3.5 todavía soporta versiones anteriores a Mac OS 10.6 Snow Leopard. 

Al igual que con ARD 3.6.1, la actualización 3.5.3 corrige el problema mediante la creación de un túnel SSH para la conexión VNC cuando "Encrypt all network data" es activado. Cuando esto no es posible, la conexión es finalizada. De acuerdo con Apple, solo la versión 3.5.2 de ARD se vio afectada por el problema, Apple Remote Desktop 3.5.1 y anteriores no son vulnerables.

La versión 3.5.3 de Apple Remote Desktop está disponible para descarga desde el sitio web de soporte de Apple, los usuarios registrados pueden instalar la actualización usando el mecanismo de Software Update.

Ver también:

Acerca del contenido de seguridad de Apple Remote Desktop 3.5.3, aviso de seguridad de Apple.