
Peter Holmes
0
5162
392
Un investigador de seguridad turco ha expuesto un error importante en macOS High Sierra. La falla hace posible que un atacante obtenga acceso a una máquina sin contraseña, así como acceso a poderosos derechos de administrador. Apple ha publicado un parche para corregir la vulnerabilidad que afecta a casi todos los sistemas macOS High Sierra.
Los sistemas sin parches, sin embargo, permanecen inseguros ...
¿Qué es el error??
La falla fue descubierta por el desarrollador turco Lemi Orhan Ergan. Permitía a cualquiera obtener derechos administrativos completos sobre una máquina macOS High Sierra simplemente escribiendo “raíz” como el nombre de usuario en el cuadro de diálogo de autenticación. Luego, deje el campo de contraseña en blanco y haga clic en el “desbloquear” dos veces, se otorga acceso administrativo completo.
Puede acceder a través de Preferencias del sistema> Usuarios y grupos> Haga clic en el candado para realizar cambios. Luego use "root" sin contraseña. Y pruébalo varias veces. ¡El resultado es increíble! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017
En teoría, antes del parche, si dejaba su Mac desatendida, alguien podría acceder fácilmente y destruir su máquina. Por ejemplo, pueden instalar malware 5 formas fáciles de infectar su Mac con malware 5 formas fáciles de infectar su Mac con malware Puede pensar que es bastante difícil infectar su Mac con malware, pero siempre hay excepciones. Aquí hay cinco formas en que puede ensuciar su computadora. , capturar contraseñas 5 maneras fáciles de infectar su Mac con malware 5 maneras fáciles de infectar su Mac con malware Puede pensar que es bastante difícil infectar su Mac con malware, pero siempre hay excepciones. Aquí hay cinco formas en que puede ensuciar su computadora. uso del acceso a llavero ¿Debería usar el llavero de iCloud para sincronizar contraseñas en Mac e iOS? ¿Debería usar el llavero de iCloud para sincronizar contraseñas en Mac e iOS? Si utiliza principalmente productos de Apple, ¿por qué no utilizar el administrador de contraseñas de la empresa de forma totalmente gratuita? , eliminar o arruinar su ID de Apple y más.
Pero Apple ha solucionado el problema, correcto?
Mientras escribía este artículo, Apple lanzó la actualización de seguridad para corregir el problema. La declaración de actualización de contenido de seguridad de Apple dice “Un error lógico existió en la validación de credenciales. Esto se solucionó con una validación de credenciales mejorada.”
La solución ya está disponible en la Mac App Store. Además, la actualización se aplicará automáticamente a las Mac que ejecutan High Sierra 10.13.1 a partir del miércoles 29th Noviembre. Apple amplió la situación con la siguiente declaración:
“La seguridad es una prioridad para todos los productos de Apple, y lamentablemente nos topamos con esta versión de macOS.
“Cuando nuestros ingenieros de seguridad se dieron cuenta del problema el martes por la tarde, inmediatamente comenzamos a trabajar en una actualización que cierra el agujero de seguridad. Esta mañana, a partir de las 8 a.m., la actualización está disponible para descargar, y a partir de hoy se instalará automáticamente en todos los sistemas que ejecuten la última versión (10.13.1) de macOS High Sierra.
“Lamentamos enormemente este error, y nos disculpamos con todos los usuarios de Mac, tanto por liberarnos de esta vulnerabilidad como por la preocupación que ha causado. Nuestros clientes merecen algo mejor. Estamos auditando nuestros procesos de desarrollo para ayudar a evitar que esto vuelva a suceder..”
Pero ya lo sabían?
Desafortunadamente para Apple, este problema ya había surgido, pero no recibió ninguna acción. Un miembro del foro de soporte de Apple publicó detalles exactos del error hace más de dos semanas. La publicación original y las respuestas parecen ver el error principal como una posible función de solución de problemas, en lugar de una amenaza de seguridad crítica.
Qué hago ahora?
Bueno, lo primero que debe hacer es dirigirse a verificar la actualización del sistema. Apple estaba listo para implementar la actualización automática de parches en algún momento en las últimas 24 horas. Si la actualización automática no ha aparecido, debes dirigirte a la Mac App Store y buscar la actualización allí. Alternativamente, haga clic en este enlace.
Una vez que se descargue la actualización, instálela de inmediato.
No esta funcionando
Si por alguna razón la actualización no se instala, primero apague y encienda su sistema, luego vuelva a intentarlo. Apple ha automatizado el proceso.
De lo contrario, siga estos pasos para asegurar su sistema mientras tanto:
- Abra Spotlight, busque Utilidad de directorio, seleccione la opción correspondiente
- Haga clic en el candado para hacer cambios; ingrese su nombre de usuario y contraseña para la cuenta administrativa
- Dirigirse a Menú> Editar
- Seleccionar Habilitar usuario root; crea una contraseña y verifica
Esto es, sin embargo, una brecha provisional. Intenta instalar la actualización oficial.
Ojos en la fuente
Cuando Apple repara el error, los ojos se vuelven hacia Lemi Orhan Ergan. El autodescrito “artesano de software” recibe críticas por no adherirse a las pautas de divulgación responsable Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Las vulnerabilidades de seguridad en paquetes de software populares se descubren todo el tiempo, pero cómo se informan a los desarrolladores, ¿Y cómo aprenden los hackers sobre las vulnerabilidades que pueden explotar? . La divulgación responsable pide a los investigadores de seguridad que informen a las empresas sobre las amenazas de seguridad para dar tiempo a corregir la falla. Después de que se solucione la falla, el investigador puede presentar sus hallazgos al público..
ESTA NO ES LA DIVULGACIÓN RESPONSABLE. Esto es extremadamente irresponsable, especialmente para una vulnerabilidad de esta magnitud. Apple tiene un excelente sistema de divulgación, y su equipo es excepcionalmente receptivo. POR FAVOR, no hagas cosas como esta. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 de noviembre de 2017
Por supuesto, este sistema no siempre funciona según lo previsto. Las empresas no responden y los investigadores de seguridad se impacientan. En esos casos, crear un problema público obliga a la mano de la empresa, obligándolos a solucionar la amenaza de seguridad.
Después de recibir una cantidad significativa de críticas, Ergan publicó una respuesta en Medium. Él explica que él “no es un hacker ni un especialista en seguridad,” continuo “Solo me concentro en las prácticas de codificación segura durante la programación, pero nunca puedo llamarme un especialista en seguridad.”
Estimado @AppleSupport, notamos un problema de seguridad * ENORME * en MacOS High Sierra. Cualquiera puede iniciar sesión como "root" con una contraseña vacía después de hacer clic en el botón de inicio de sesión varias veces. ¿Te das cuenta @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017
Para ser justos, el error se discutió en el foro de soporte de Apple. Además, Ergan afirma que sus colegas de la firma de pagos Iyzico revelaron la amenaza a Apple el 23.rd Noviembre - pero nunca recibió una respuesta.
Ojos en la pelota
De la fuente, a la empresa. ¿Apple dejó que este se escapara por la red? En una palabra, sí: especialmente si estaban al tanto del error como afirma Ergan. Desafortunadamente, no sabemos la verdad, así que no podemos hacer una evaluación sólida de la situación..
Incluso después de sufrir su segunda actualización forzada en un año (todavía solo su segunda actualización de seguridad forzada), Apple no debería preocuparse. Las instancias de malware para MacOS e iOS están aumentando. Aumenta el malware dirigido a Apple: esto es lo que debe tener en cuenta en 2016 Aumenta el malware dirigido a Apple: esto es lo que debe tener en cuenta en 2016 El hardware de Apple ya no es un refugio seguro contra piratas informáticos, malware, ransomware y otras amenazas cibernéticas. La primera mitad de 2016 demuestra que sin las precauciones adecuadas, sus dispositivos pueden convertirse en riesgos ..., pero Windows y Android siguen siendo los principales objetivos ¿Cuál es el sistema operativo móvil más seguro? ¿Cuál es el sistema operativo móvil más seguro? Luchando por el título del sistema operativo móvil más seguro, tenemos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. ¿Qué sistema operativo es el mejor para defenderse de los ataques en línea? . Además, Apple tiene un historial de seguridad estelar en su mayor parte. La guía de seguridad definitiva para Mac: 20 formas de protegerse La guía de seguridad definitiva para Mac: 20 maneras de protegerse ¡No sea una víctima! Asegure su Mac hoy con nuestra exhaustiva guía de seguridad High Sierra. , como lo demuestra su actualización rápida y efectiva para sofocar la creciente amenaza.
¿Te ha afectado la falla de seguridad de Apple? ¿O llegó la actualización lo suficientemente rápido como para que no te preocupes? Déjanos saber tus pensamientos abajo!