¿Cómo mitigar el CVE-2015-1130 (Backdoor oculto con Root) debido a la falta de soporte de Apple?

Navega tus respuestas
6

Esto está relacionado con CVE-2015-1130 , también conocido como API de puerta trasera oculta para privilegios de raíz en Apple OS X . Parece que Apple se ha negado a arreglarlo en OS X 10.9 y anteriores. Emil Kvarnhammar , el que informó esta vulnerabilidad a los estados de Apple:

  

Apple indicó que este problema requería una cantidad sustancial de   cambios en su lado, y que no van a retroceder la solución para   10.9.x y mayores.

Tengo una máquina OS X 10.8.5 y una máquina OS X 10.9. No puedo actualizar ninguna de las máquinas debido a requisitos fuera de mi control y del control de Apple.

En ausencia de un sistema operativo de parches de Apple antes de la 10.10, ¿cómo podemos mitigar esto en las máquinas OS X 10.8 y OS X 10.9?

    
pregunta jww 10.04.2015 - 20:18

2 respuestas

3

Yo diría que simplemente no es posible.

Aparentemente a Apple le llevó meses de esfuerzo cerrar esta puerta. Pidieron específicamente al reportero que se mantuviera por mucho tiempo más allá del período de embargo de anuncio aceptado, para darles el tiempo suficiente para solucionarlo antes de que se hiciera público. Dicen que la razón por la que no se realiza una copia de seguridad de los sistemas operativos anteriores es la gran cantidad de esfuerzo que implica.

Si no pueden hacerlo, dudo que alguien más pueda hacerlo.

Si pudiera ser mitigado un poco por alguna acción de su parte, estoy bastante seguro de que habría recibido consejos de ellos a tal efecto.

    
respondido por el Tetsujin 11.04.2015 - 11:53
-1

Esto no es una mitigación, pero puede ayudar a solucionar el problema.

A continuación se muestra la queja presentada ante la FTC. Otros deben considerar presentar una queja también, en un esfuerzo por solucionarlo. Apple puede rechazar a usuarios como usted y yo, pero van a tener más dificultades con agencias como la FTC.

Las quejas pueden presentarse ante la FTC utilizando el Asistente de quejas para Servicios de Internet, compras en línea o computadoras .

  

Compré un MacBook Pro en 2012. Fue personalizado y costó   aproximadamente $ 3,500. El MacBook ejecuta el OS X 10.8.5 (Mountain Lion)   sistema operativo.

     

Los sistemas operativos OS X de Apple sufrieron recientemente una gran seguridad   Defecto conocido como una vulnerabilidad en la seguridad informática. La seguridad   el defecto CVE es CVE-2015-1130 (cf.    enlace ), y su   También conocido como Hidden Backdoor with Root. "Raíz" es un término para tener   control administrativo total sobre una computadora; y cuando un malo se pone "   la raíz "es como los presos de una prisión que adquieren una llave maestra de una prisión.

     

Parece que Apple se ha negado a arreglar el defecto de seguridad en OS X 10.9   y por debajo. Según el investigador que descubrió y reportó el   problema "Apple indicó que este problema requería una cantidad sustancial   de cambios en su lado, y que no van a respaldar la solución para   10.9.x y anteriores "(cf., enlace ).

     

Siento que Apple me engañó cuando afirmaron que OS X 10.8 era el "más seguro   y el sistema operativo más seguro "[sic]. En realidad, el software de Apple   tenía este defecto de seguridad que se remonta al menos a 2011. De hecho, Apple   Todavía reclama que toda la familia OS X es segura, aunque sabemos   no (cf., enlace ).

     

También siento que Apple no cumplió con su obligación de garantizar su   Producto Defectuoso. Entiendo que los errores de seguridad suceden. Pero cuando ellos   hacer, por lo general son puntualmente arreglados. No es el caso de Apple y   CVE-2015-1130.

     

OS X 10.9, 10.8, 10.7 y 10.6 generalmente se consideran "contemporáneos"   y representan aproximadamente el 55% de la cuota de mercado de OS X. OS X 10.9 y   10.8 tienen una cuota de mercado del 35%. (cf., enlace ).

     

Y un contrapunto en caso de que surja durante el debate: no quiero   Actualizar a OS X 10.9. Hay demasiada integración con iCloud. Yo no   Confíe en iCloud o coloque un llavero en iCloud, así que no acepto   el riesgo. Además, no quiero ser un probador beta para nuevas funciones.

     

Si Apple afirma que estoy de acuerdo con las actualizaciones a través de los Términos [generalmente obscenos]   De servicio forzado sobre mí, entonces están equivocados. No hubo "reunión   de las mentes "y no" manifestación de asentimiento "(cf. Zappos.com Inc.,   Litigio por incumplimiento de la seguridad de los datos del cliente (MDL No. 2357), Distrito de los Estados Unidos   Corte, Distrito de Nevada). Y en el momento en que compré el MacBook,   OS X 10.9 no existía. Así que es una exageración afirmar que accedí a un   actualización para un sistema operativo inexistente.

     

Apple nos está engañando (a los consumidores) cuando representamos a   producto, no cumpliendo con sus obligaciones para con nosotros (los consumidores) por   garantizando el producto, y nosotros (los consumidores) necesitamos la ayuda de la FTC   aquí.

     

El remedio que exijo es un parche para el sistema operativo defectuoso. UNA   parche es lo que todos los otros principales fabricantes de sistemas operativos   proporciona. No estoy interesado en un reembolso de mi dinero porque necesito   el MacBook en ocasiones para uso personal (reproducir la música y   películas de mi biblioteca de iTunes) y uso profesional (iPhone / iPad   desarrollo).

    
respondido por el jww 13.04.2015 - 06:48

Lea otras preguntas en las etiquetas

¿Cómo aumentar el tamaño de fuente de la IU de Xcode? ¿Cómo uso iMessage cuando mi número está desconectado?