Apple no ha podido solucionar un error en la función de gestión de aplicaciones de macOS Ventura durante más de 10 meses, según un desarrollador que publicó los detalles del exploit durante el fin de semana.
Jeff Johnson informó por primera vez sobre el error en su blog en octubre de 2022, varios días después de notificarlo a Apple. El problema es una función en macOS Ventura del año pasado que tiene como objetivo asegurarse de que los malos actores no puedan lanzar actualizaciones maliciosas para las aplicaciones ya instaladas.
Sin embargo, el otoño pasado, Johnson dijo que «encontró [an] Omisión de administración de aplicaciones que no requiere acceso completo al disco». En ese momento, se negó a proporcionar detalles de este error para darle tiempo a Apple para solucionarlo. Sin embargo, diez meses después, sigue siendo un problema y la paciencia de Johnson se ha agotado.
Como informa AppleInsider, Johnson publicó una publicación de blog actualizada durante el fin de semana que explica la vulnerabilidad. Él «descubrió, casi por accidente, que una aplicación de espacio aislado podía modificar archivos que no debería poder modificar: archivos dentro del paquete de una aplicación notariada que supuestamente estaban protegidos por la seguridad de App Management».
El retraso es «absurdo», según Johnson, quien dice que «perdió toda confianza en Apple para abordar el problema de manera oportuna».
La publicación de esta publicación de blog más reciente significa que Johnson está «sacrificando la oportunidad de recibir una recompensa de seguridad de Apple», aunque reconoce que «Apple no ha prometido pagar nada» y no realiza pagos hasta que se soluciona un problema.
Recomendado por Nuestros Editores
«Así que podría estar esperando para siempre por nada», agrega. «Hasta ahora, Apple ha estado ‘comprando’ mi silencio por $0 y solo la vaga posibilidad de algún pago futuro».
Johnson creó un proyecto Xcode de muestra como demostración que puede descargar; está vinculado en su publicación. También publicó una publicación de seguimiento «que intenta explicar la vulnerabilidad de una manera menos técnica y más amigable para los no desarrolladores».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.