Apple arregla el fallo que permitía a cualquiera acceder como root, pero rompe otra función de macOS

Software

Apple ha tenido unos días bastante movidos. Anteayer se generó el caos en la red por culpa de un investigador de seguridad. Éste, en lugar de reportar a Apple el fallo, publicó en Twitter la vulnerabilidad, poniéndola al alcance de todos los usuarios. Esto ha hecho que Apple se haya movido a contrarreloj para arreglarlo y no probar el parche a fondo, introduciendo nuevos fallos.

El fallo de “root” en macOS: uno de los más graves de la última década

El fallo inicial permitía a cualquier persona acceder como “root” (con permisos de administrador) a un ordenador macOS que tuviera la última versión del sistema operativo (High Sierra). Tan sólo era necesario escribir “root” en el apartado de nombre de usuario, y dejar el ratón sobre el recuadro de contraseña. Al pulsar Enter, se accedía al ordenador con todos los permisos (algunas veces era necesario darle varias veces al Enter).

macos root high sierra

Para reportar este tipo de fallos, quien lo descubre suele dejar, como norma no escrita, unos 30 o 60 días para que la compañía pueda parchearlo. Pasado ese tiempo es cuando se puede publicar ese fallo para generar presión a la compañía para que lo arregle.

Apple tardó apenas 24 horas en lanzar el parche que permitía arreglar el fallo, bautizado como Security Update 2017-001 para macOS High Sierra 10.13.1, el cual se puede instalar sin necesidad de reiniciar el ordenador. Sin embargo, las prisas les han llevado a romper otra función de macOS: la opción de compartir archivos.

El nuevo fallo se puede arreglar de manera sencilla mientras Apple lanza un nuevo parche

La compañía ha informado que son conscientes del fallo, y que, si hay usuarios que están experimentando este fallo después de instalar el parche de seguridad, han de seguir unos cuantos pasos para poder reparar la función hasta que la compañía lance un parche que lo arregle de manera definitiva. En concreto, los pasos son:

  • Abrir la Terminal, dentro del apartado Aplicaciones – Utilidades
  • Escribir sudo /usr/libexec/configureLocalKDC y presionar Enter
  • Introducir la contraseña de administrador y pulsar Retroceso
  • Salir de la Terminal.

Apple no ha podido testear el parche antes de su lanzamiento por la presión mediática que ha sufrido, aunque es preferible que se rompa temporalmente la función de compartir archivos que cualquier persona puede tener acceso a tu ordenador de una manera tan burda y sencilla.  A pesar de ello, Apple ha prometido que en el futuro van a hacerlo mejor para evitar que esto vuelva a ocurrir mediante una auditoria y mejora en el sistema de desarrollo. La actualización empezó a cuajarse nada más los ingenieros descubrieron el problema.

Por desgracia, este tipo de fallos están a la orden del día, y pasan normalmente cada año al menos una vez. Por ello, por mucho que Apple y otras compañías intenten evitarlo, finalmente se acaba cayendo en los mismos errores.

Escrito por Alberto García

Fuente > Softpedia

Continúa leyendo
  • ccartola

    Qué bueno, a eso sí que se le puede llamar desvestir un santo para vestir a otro, jajajaja

  • wingilot

    Este no es el peor agujero de seguridad que ha dejado apple en su SO, hace unos años se descubrió uno mucho peor con los certificados de seguridad que había estado abierto durante muchos años, y en diversas versiones de OSX. Si a alguien le interesa este error no hay mas que buscar el famosa vulnerabilidad “goto fail” de OSX en google, donde hay extensas explicaciones de este.

    Aunque este fallo es grave, también es algo irresponsable por parte del usuario dejar la contraseña de root por defecto.

    • ccartola

      No no, si podías tener una password de root, que daba igual, de ahí la gravedad del asunto. Bastaba con dejarlo en blanco el tema de la pass e insistir en el logeo para conseguirlo.

      Muy fuerte que les pase eso en un SO recién estrenado como quien dice.

      • wingilot

        Eso solo pasaba si no habías cambiado nunca el password de root (dejas el que viene por defecto), si lo habías cambiado no tienes ese problema, de hecho la solución “casera” para evitar este fallo simplemente es cambiar el password del root.

        • ccartola

          Joder entonces con las noticias de adslzonedeluxe… anda que se expresan bien.

          Muchas gracias por la aclaración compi, ainss, si no fuera por nosotros/vosotros!!!

  • Lo mejor de todo es que la vulnerabilidad había sido publicada por otro usuario semanas antes el los propios foros de Apple…XD

  • Pingback: Apple no aceptará aplicaciones de 32 bits en Mac a partir del 1 de enero de 2018()