Grave fallo de seguridad en macOS: usuario root sin contraseña

Hace unas semanas que cientos de millones de ordenadores Mac recibieron la actualización gratuita a High Sierra, la nueva y más avanzada versión de macOS, lo que nadie esperaba es que Apple tuviese un desliz de seguridad tan grave como el descubierto en las últimas horas.

Cualquiera puede acceder al usuario “root” y que puede controlar y acceder a todos los contenidos del ordenador, sin meter ninguna contraseña. Sí, está completamente desprotegido y es uno de los mayores agujeros que se recuerdan.

El fallo ha sido descubierto por el desarrollador Lemi Orhan, que directamente ha tuiteado el problema a la cuenta de soporte de Apple en Twitter (una forma de hacerlo público que, también hay que decirlo, no es precisamente ortodoxa dada la magnitud del fallo).

Lemi muestra cómo simplemente hay que dejar el campo de contraseña vacío para acceder al usuario rooty, al intentarlo varias veces, simplemente nos da acceso. No hay que hacer nada más.

Mientras llega la prometida actualización, todos los usuarios de macOS High Sierra deberían tomar medidas. ¿Cómo? En esencia hay que añadir una contraseña fuerte, segura (y única, por favor) al usuario root, o directamente desactivar dicho usuario. Estos son los pasos que debes seguir:

Actualizado: Apple lanza un parche para macOS

Apple ha publicado la actualización de seguridad 2017-001, dedicada a tapar el agujero de seguridad que permite entrar en sistemas macOS sin contraseña. Según Apple, se trataba de un error en la validación de las credenciales; la solución ha sido, por lo tanto, mejorar la validación, aunque la compañía no ha ofrecido más detalles.

Si usas macOS Sierra, es absolutamente vital que instales la actualización.

FuenteOmicrono

Share

This entry was posted in 0-day, bugs, contraseña, mac, OS, seguridad, updates. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *