• Tweet

eEye Digital Security® anunció que descubrió cuatro vulnerabilidades de seguridad críticas relacionadas con Apple Computer® y QuickTime®, así como para la aplicación de descarga de música iTunes®. Estas fallas tienen el potencial de inflingir daños serios, permiten a un atacante tomar el control total de un sistema afectado y ejecutar acciones maliciosas remotamente, incluyendo la instalación de programas, además de observar, cambiar o borrar datos.

Particularmente son vulnerables las redes de las empresas, estas deben tomar inmediatamente acciones para identificar las máquinas afectadas, es muy alta la probabilidad de que los populares Quicktime e iTunes estén instalados en sus redes. Para dar una dimensión del problema, el servicio de descarga de iTunes ha distribuido 850 millones de canciones desde su introducción y combinado con el uso del iPod, del cual se han vendido 42 millones de unidades.

Aunque los problemas de seguridad se encontraron inicialmente en QuickTime, iTunes se puede integrar con QuickTime y las fallas de seguridad también se pueden explotar via esta aplicación. Todas las plataformas corriendo Windows 2000, Windows XP y Apple Mac OS X son vulnerables. Apple liberó una solución a dichos problemas en la forma de una nueva versión de QuickTime, la 7.0.4.

eEye recomienda que los departamentos de TI implementen herramientas para mejorar las políticas de seguridad que administren apropiadamente la instalación de aplicaciones vulnerables como iTunes y QuickTime.

"Probablemente muchos departamentos de TI han visto el reporte de Apple y piensan que es una aplicación para usuarios caseros por lo que no se preocupan de ese problema en sus políticas de seguridad. Están en un error", dijo Marc Maiffret, co-fundador de eEye y oficial de seguridad. "Hay pocas personas que no han visto a un compañero con un iPod dentro de su organización y probablemente esos iPods indican que iTunes está también en los sistemas. Las vulnerabilidades acentúan la necesidad de politicas de seguridad más rigurosas y su ejecución via una búsqueda de vulnerabilidades en la red, para mitigar dicha amenaza."