Canal de Telegram

29 nov 2017

Segu-Info » , , , » Grave fallo de seguridad en macOS: usuario root sin contraseña

Grave fallo de seguridad en macOS: usuario root sin contraseña

29 nov 2017, 1:59:00 p.m.   Comenta primero!
  , , ,  
Hace unas semanas que cientos de millones de ordenadores Mac recibieron la actualización gratuita a High Sierra, la nueva y más avanzada versión de macOS, lo que nadie esperaba es que Apple tuviese un desliz de seguridad tan grave como el descubierto en las últimas horas.

Cualquiera puede acceder al usuario "root" y que puede controlar y acceder a todos los contenidos del ordenador, sin meter ninguna contraseña. Sí, está completamente desprotegido y es uno de los mayores agujeros que se recuerdan.

El fallo ha sido descubierto por el desarrollador Lemi Orhan, que directamente ha tuiteado el problema a la cuenta de soporte de Apple en Twitter (una forma de hacerlo público que, también hay que decirlo, no es precisamente ortodoxa dada la magnitud del fallo).
Lemi muestra cómo simplemente hay que dejar el campo de contraseña vacío para acceder al usuario root y, al intentarlo varias veces, simplemente nos da acceso. No hay que hacer nada más.

En realidad, el error existe para todas las cuentas que están deshabilitadas, como es el caso de la cuenta root. MacOS intenta llevar a cabo una actualización de la contraseña y la función od_verify_crypt_password retorna un valor distinto a cero, ocasionando la actualización de la misma.

Mientras llega la prometida actualización, todos los usuarios de macOS High Sierra deberían tomar medidas. ¿Cómo? En esencia hay que añadir una contraseña fuerte, segura (y única, por favor) al usuario root, o directamente desactivar dicho usuario. Estos son los pasos que debes seguir:

Actualizado: Apple lanza un parche para macOS

Para solucionar este error Apple publicó la siguiente guía para cambiarle la contraseña al usuario root, también podemos actualizar a través del parche que rápidamente Apple ha publicado para solucionar esta vulnerabilidad.

Apple ha publicado la actualización de seguridad 2017-001, dedicada a tapar el agujero de seguridad que permite entrar en sistemas macOS sin contraseña. Según Apple, se trataba de un error en la validación de las credenciales; la solución ha sido, por lo tanto, mejorar la validación, aunque la compañía no ha ofrecido más detalles.

Si usas macOS Sierra, es absolutamente vital que instales la actualización.

Fuente: Omicrono

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!