Esta si es verdad. A diferencia de las otras “vulnerabilidades” (que en realidad eran más que nada malos intentos de hacer el sistema OSX inseguro) que antes habíamos comentado (links aqui y acá) esta vez existe un posible exploid que es mucho más interesante… y potencialmente peligroso.
PUBLICIDAD
Se trata de un “agujero de seguridad”, más que nada una mala costumbre de Safari y Mail de abrir ficheros “seguros” luego de descargarse, como son .zip, .jpg o .dmg sin previo consentimiento del usuario en una forma de hacer el sistema más sencillo y más amigable, lo que podría terminar siendo una práctica nada de agradable si, por medio de esta pequeña falta que tienen ambos programas, terminan abriendo un archivo .zip que autodescomprime un ejecutable con el que termines ejecutando algún codigo malicioso sin darte cuenta que, en teoría, fuiste tu mismo quién autorizó la operación. Tambien hay reportado un problema en el cual Safari no discrimina bien la extensión del archivo y podría terminar ejecutando un “seguro” asdf.jpg.zip simplemente porque el .jpg está antes (y no se da cuenta que en realidad es un .zip).
El problema es facilmente solucionable (al menos en Safari): Preferencias / General / Desmarcar “Abrir archivos “seguros” al descargarlos”. (Viene por defecto).
En Mail no parece haber dicha opción, y aunque por el momento NO hay ningún código malicioso dando vueltas para aprovechar esa vulnerabilidad, recomendaría NO usar Mail.app hasta que Apple aparezca con un parche.
Creo que este es el mes de los sustos para los macqueros. Hasta hoy no hay nada realmente por que asustarse, pero es una llamada a no tener la guardia baja.
Fuente: Slashdot Apple