Seguridad

La OSI advierte de vulnerabilidades en GarageBand y Logic Pro X

Escrito por Marcos Merino

La vulnerabilidad (común en ambos programas) permite la ejecución de código malicioso de manera remota.

Esta semana, la Oficina de Seguridad del Internauta (dependiente del INCIBE) ha hecho pública la existencia de una vulnerabilidad en dos populares aplicaciones musical de Apple, GarageBand y Logic Pro X. Este software está enfocado a facilitar el aprendizaje y composición musical, permitiendo tocar, grabar y compartir piezas musicales de manera sencilla, gracias a su amplia biblioteca de sonidos de instrumentos y preajustes para voz y guitarra.

Pero esta vulnerabilidad, descubierta por Tyler Bohan (uno de los 250 integrantes del equipo Cisco Talos, dedicado a la investigación y análisis de millones de muestras de malware cada día), podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. Concretamente, el problema reside en que, al abrir el usuario un archivo de proyecto específicamente manipulado, se provoca una corrupción de memoria que proporciona vía libre a la ejecución del citado código arbitrario (que operará con los privilegios del usuario afectado).

La vulnerabilidad afecta a las versiones para OS X Yosemite 10.10 (y posteriores) de GarageBand y Logic Pro X, y se solventa actualizando a la última versión del software publicada hasta ahora (GarageBand 10.1.5 y Logic Pro X 10.3), que ya integra el parche para solventar el problema. Si bien este software cuenta con la opción de actualización automática, en muchos casos ésta no está activada (ya que puede generar problemas de compatibilidad con los drivers de algunos elementos del equipo como las tarjetas de sonido o los controladores MIDI) por lo que el usuario potencialmente expuesto debe confirmar activamente la actualización.

Casos como éste ayudan a dejarle claro a los usuarios que los agujeros de seguridad de su equipo informática no tienen por qué llegar únicamente de ‘sospechosos habituales’ como las unidades USB o el plugin de Flash, ni de aplicaciones fundamentales como el navegador de Internet.

Vía | Oficina de Seguridad del Internauta

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.