Exploit de día cero de Safari: enlaces que vale la pena comprobar
Las historias de piratería me aburrieron hasta las lágrimas, pero la hábil competencia de piratería "pwn-2-own" (Hack a honeypot MacBook, consígalo como premio) está recibiendo tanta atención, vale la pena señalar algunos de los mejores informes sobre el tema:
Dan Goodin en The Register:
Un investigador de seguridad con sede en Nueva York dedicó menos de 12 horas a identificar y explotar un vulnerabilidad en el navegador Safari de Apple que le permitió obtener de forma remota todos los derechos de usuario para el pirateo máquina. La hazaña se produjo durante el segundo y último día del concurso "pwn-2-own" de CanSecWest en el que los participantes pueden irse con una MacBook Pro completamente parcheada si primero pueden piratearla.
…Dai Zovi, que no asistirá a la conferencia, fue reclutado el jueves por la noche por Shane Macaulay, un amigo y asistente a la conferencia. La facilidad que encontró Dai Zovi al instalar la máquina fue aún más notable, dada una actualización que Apple lanzó ayer para reparar 25 agujeros de seguridad de Mac. Macaulay describió la vulnerabilidad de Dai Zovi como un error de JavaScript del lado del cliente que ejecutaba código arbitrario cuando Safari visitaba un sitio web con trampas explosivas.
Thomas Ptacek en Matasano:
Apague Java; Para estar seguros, hasta que Dino nos deje decir más, apague todo lo demás también. O vivir peligrosamente como yo.
Charles Jade en Ars Technica:
... un gran número de expertos y nerds anónimos en Internet condenarán la falta de seguridad de Apple y cómo injusto es que se perciba que Microsoft, que hace tanto esfuerzo en seguridad, tiene un sistema menos seguro OS. Mientras tanto, los usuarios de Mac racionalizarán la situación, incluyéndome a mí.