• Tweet

Cuando una identidad en linea (grupo de identidades) conocida como InfoSec Sellout hizó importantes revelaciones de una prueba de concepto de un gusano, conocido como Rape.osx, dirigido a OS X, condujo a intensos argumentos y dramas - incluyendo amenazas de muerte anonimas y el borrado accidental de su blog.

Mientras no haya todavia una prueba sobre sus declaraciones, o que aparezca el gusano fuera de su ambiente de pruebas, la informacion que acompaño la declaración original que se refiere a una vulnerabilidad en mDNSResponder como la vulnerabilidad asociada con Rape.osx.

Aun cuando Apple ha tratado varias vulnerabilidades en mDNSResponder en diferentes actualizaciones de seguridad, las quejas se referían a que Apple no había podido resolver un grupo de vulnerabilidades - solo corregía vectores de ataque específicos en lugar del problema de raíz.

Aunque InfoSec Sellout efectivamente ha desaparecido de Internet (su blog ha sido suspendido por Google), parece que el drama y el descubrimiento inicial podrían forzar a Apple a deshabilitar el componente del sistema de OS X con su mas reciente actualización de seguridad (Security Update 2007-007).

Contenido en el articulo de la base de conocimiento de Apple que acompaña a la actualización, es información sobre cambios al comportamiento de mDNSResponder después de la aplicación de la actualización.

Parece seguir la pista de la información descubierta por InfoSec Sellout, la actualización del mDNSResponder de Apple se refiere a una vulnerabilidad que puede ser explotada por un atacante en una red local para conseguir una condición de negación de servicio o ejecución de codigo arbitrario. Apple comienza a identificar que la vulnerabilidad existe en el soporte para UPnP IGD (Universal Plug 'n Play Internet Gateway Device - usado en el mapeo de puertos en gateways NAT) y que el atacante puede explotar la vulnerabilidad simplemente enviando un paquete especialmente creado a través de la red.

Mas que corrigiendo la vulnerabilidad y conservando la capacidad, Apple ha deshabilitado completamente el soporte para UPnP IGD.

Es interesante notar que Apple no haya atribuido a ningún agente externo la identificación y reporte de la vulnerabilidad, y la relevancia del registro en CVE (CVE-ID: CVE: 2007-3744) que muestra que es un registro reservado - sin información de quien había registrado la CVE ID y sin información acerca de lo que se trata el registro.

Si la información reportada por MITRE es exacta, señala que la entrada CVE había sido creada antes del descubrimiento publico de la existencia de Rape.osx (12 de Julio contra 16 de Julio). Esto puede ser coincidencia, pero podria proporcionar algunos detalles acerca de la propagación de información de la vulnerabilidad si la parte responsable de crear el ID es revelada.