Home > Notícias

Jovem identifica falha de segurança que dá acesso remoto a Macs

Lucas Todesco, de 18 anos, postou no GitHub detalhes do exploit que desenvolveu. Segundo desenvolvedor, Apple foi notificada do problema.

IDG News Service

17/08/2015 às 15h20

macbook2015gold_625.jpg
Foto:

Um jovem italiano encontrou duas vulnerabilidades do tipo zero-day no sistema operacional da Apple que poderiam ser usadas para obter acesso remoto aos computadores da empresa de Cupertino.

A constatação vem depois que a Apple, na semana passada, corrigiu uma vulnerabilidade usada por alguns invasores para carregar programas questionáveis em computadores.

Lucas Todesco, de 18 anos, postou no GitHub detalhes do exploit que desenvolveu. No caso, o exploit utiliza dois bugs para corromper a memória do Kernel do OS X, escreveu ele por e-mail. O kernel é um componente do Sistema Operacional essencial para o funcionamento de um computador e cuja localização não fica visível para o usuário.

A memória corrompida pode então ser utilizada para contornar o endereço do chamado kernel Space Layout Randomization (kASLR), uma técnica defensiva desenhada para frustrar o funcionamento do código exploit. O invasor, então, ganha acesso a raiz do sistema. 

O código do exploit funciona em versões OS X 10.9.5 até 10.10.5. Ela já foi consertada no OS X 10.11, a versão beta do próximo Apple OS, batizado de El Capitan.

Todesco, que informou que em seu tempo livre faz pesquisa de segurança, disse que notificou a Apple do problema “algumas horas antes do exploit ser publicado”. 

“Isso não se deve ao fato de eu ter problemas com a política e tempo de reparo da Apple, como alguns reportaram incorretamente”, escreveu. 

Ele também desenvolveu um patch chamado NULLGuard, cujo material ele inclui no GitHub. Desde que Todesco não conta com um certificado de desenvolvedor Mac, ele escreveu que não pode distribuir uma forma fácil de instalar uma versão do patch.

Representantes da Apple não estavam disponíveis para comentar sobre o assunto até o fechamento desta matéria.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail