La vulnerabilidad, reportada por Tyler Bohan del equipo
Cisco Talos, afecta a GarageBand para OS X, el popular programa de composición
musical de Apple, que podría permitir a un atacante remoto ejecutar código
arbitrario en los sistemas afectados.
GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.
Como hemos mencionado en múltiples ocasiones, el vector
de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en
el lugar más insospechado. Siempre se centra toda la importancia en el sistema
operativo, e incluso en productos de uso habitual y sobre los que se centran y
conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash,
etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso,
un programa para componer música.
Detalle de la vulnerabilidad
- El problema, con CVE-2017-2372, reside en el tratamiento de archivos de proyecto específicamente creados. De forma que cuando el usuario atacado abre el archivo provoca una corrupción de memoria, que permite la ejecución de código arbitrario en el sistema. El código se ejecutará con los privilegios del usuario afectado.
- Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.5 para solucionar el problema descrito.
- About the security content of GarageBand 10.1.5 https://support.apple.com/en-us/HT207477
