• Tweet

Una vulnerabilidad crítica, encontrada en algunas versiones del popular iTunes de Apple Computer, podría permitir a los intrusos remotamente tomar control de la computadora de un usuario, de acuerdo con un aviso lanzado este jueves por una compañía de seguridad.

El descubrimiento de este hueco aparece días después de que Apple liberara la actualización de seguridad para iTunes 6.

Este hueco existe desde las primeras versiones de iTunes 6 para Windows y no fue solucionado por la reciente actualización de seguridad, de acuerdo con las advertencias dadas por eEye Digital Security.

Después que eEye equivocádamente colocara una nota en su sitio Web diciendo que el hueco de iTunes afectaba a “todos los sistemas operativos”, la firma de seguridad actualizó esta advertencia para indicar que el hueco había sido encontrado únicamente en el sistema operativo Windows hasta ahora.

Sin embargo, eEye ahora está probando si el hueco también afecta iTunes ejecutándose en el sistema operativo Mac.

Apple iTunes 6 para Windows, así como versiones previas, son afectados por el hueco, dice Steve Manzuik, encargado de producto en eEye.

El hueco permite a intrusos maliciosos lanzar remotamente código arbitrario, una vez que un usuario da click en un sitio Web malicioso o abre un correo electrónico malicioso, dice Manzuik.

“iTunes está extendiéndose, por lo que hay una gran base para explotar”, dice Manzuik, notando que no se ha publicado ningún código del exploit hasta la fecha.

Cuando Apple liberó al inicio de semana la actualización de seguridad de iTunes 6 para Windows, este fue diseñado para prevenir el uso incorrecto del proceso que activa la aplicación de ayuda.

El programa de ayuda busca múltiples trayectorias del sistema para calcular la salida que el programa podría ejecutar, pero el hueco puede permitir a un intruso crear una manera para que un programa alterno sea inicializado por iTunes.

Ningún representante de Apple dio comentario alguno, pero la compañía tiene una política de no discutir ni confirmar avisos de seguridad hasta que se lleve a cabo una investigación y publicar cualquier actualización necesaria, de acuerdo con un anuncio en su sitio Web.

eEye dice que no proporcionará detalles extensos del hueco de seguridad hasta que el proveedor libere una actualización para resolver el hueco.