Microsoft ha solucionado un agujero de ejecución de código en su software Remote Desktop Client for Mac.
El enlace podía ser enviado al sistema de destino de una amplia variedad de formas, como correo electrónico y mensajería instantánea, y una vez hecho clic, hace que el sistema sea fácilmente accesible desde un servidor de Terminal Server que puede leer y escribir cualquier archivo en el directorio «home» del Usuario conectado.
El problema ha sido solucionado el 17 de enero.
La vulnerabilidad fue descubierta por el investigador de seguridad italiano Filippo Cavallarin, quien dijo que Microsoft necesitaba bastante tiempo para corregir la falla. El informe fue presentado a la compañía el 13 de julio de 2016, pero la solución llegó el 17 de enero de este año.
«La vulnerabilidad existe en la forma en que la aplicación maneja las url de rdp. En el esquema de url de rdp es posible especificar un parámetro que hará que el directorio de inicio del usuario sea accesible al servidor sin ninguna solicitud de advertencia o confirmación. Si un atacante puede engañar a un usuario para que abra una url de rdp malintencionada, puede leer y escribir cualquier archivo dentro del directorio personal de la víctima «, revela la advertencia de seguridad.
Apple también ha lanzado una actualización de seguridad para su propio navegador Safari que impide que se produzca una explotación exitosa, explicando en las notas de lanzamiento de la nueva versión que «esta actualización corrige un problema en el que un sitio web podría intentar lanzar otros sitios web o aplicaciones de forma repetida».