Se
ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder
a información sensible.
Apple Remote Desktop es una
herramienta para la gestión remota de equipos Mac, diseñada para la gestión de
equipos en red. Es compatible con VNC y permite usarse como "visor" para otros servidores que funcionen
como servidor VNC.
El problema (con CVE-2012-0681)
se da porque, aun conectando a un servidor VNC de un tercero con la opción
"Encrypt all network data" (cifrar
todos los datos de red) activada, la
información se envía sin cifrar. El programa tampoco alerta sobre el hecho
de que los datos no serán cifrados.
Para evitar esto, se debe crear
un túnel SSH para la conexión VNC. El problema fue introducido en la versión
3.5.2, de junio de este año, y se ha mantenido hasta la 3.6. Se recomienda la actualización a la versión 3.6.1.
Más información:
About the security content of Apple Remote
Desktop 3.6.1
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario