Nuevo fallo de seguridad en macOS: Las preferencias de la App Store en macOS High Sierra pueden ser desbloqueadas con cualquier contraseña

Nuevo fallo de seguridad en macOS: Las preferencias de la App Store en macOS High Sierra pueden ser desbloqueadas con cualquier contraseña

Un nuevo informe presentado en Open Radar esta semana revela una importante vulnerabilidad de seguridad en la versión actual de macOS High Sierra que permite desbloquear el menú de App Store en Preferencias del sistema con cualquier contraseña.

Este fallo se está reportando en macOS 10.13.2, aunque puede que esté presente en versiones anteriores del sistema operativo. Este fallo lo puedes recrear tu mismo siguiendo los siguientes pasos:

• Haz clic en Preferencias del sistema.
• Haz clic en App Store.
• Haga clic en el icono del candado para bloquearlo si es necesario.
• Haz clic en el ícono del candado nuevamente.
• Ingrese su nombre de usuario y cualquier contraseña.
• Haz clic en Desbloquear.

mac-app-store-preferences

Como se menciona en el radar, las Preferencias del Sistema no aceptan una contraseña incorrecta con una cuenta que no sea de administrador.

No podemos reproducir el problema en la tercera o cuarta versión de macOS High Sierra 10.13.3, lo que sugiere que Apple ha solucionado la vulnerabilidad de seguridad en la próxima versión. Sin embargo, la actualización actualmente permanece la rama beta.

Este mismo fallo no se puede reproducir en macOS Sierra versión 10.12.6, sugiriendo que el problema solo afecta a macOS High Sierra.

La vulnerabilidad de seguridad significa que cualquier persona con acceso de administrador a su Mac podría desbloquear las preferencias de App Store y habilitar o deshabilitar configuraciones para instalar automáticamente actualizaciones de macOS, actualizaciones de aplicaciones, archivos de datos del sistema e, irónicamente, incluso actualizaciones de seguridad que arreglarían un error como éste.

Este es el segundo error importante relacionado con contraseñas que afecta a macOS High Sierra en los últimos meses, luego de una importante vulnerabilidad de seguridad que permitió el acceso a la cuenta de superusuario "root" con una contraseña en blanco en macOS High Sierra en la versión 10.13.1 que Apple arregló con una actualización de seguridad.

Tras la vulnerabilidad de la contraseña de root, Apple se disculpó en una declaración y agregó que estaba "auditando sus procesos de desarrollo para ayudar a evitar que esto suceda nuevamente", por lo que no se ve muy bien.

Lamentamos mucho este error y pedimos disculpas a todos los usuarios de Mac, tanto por publicar esta vulnerabilidad como por la preocupación que ha causado. Nuestros clientes se merecen algo mejor Estamos auditando nuestros procesos de desarrollo para ayudar a evitar que esto vuelva a suceder.

Es probable que Apple quiera arreglar esta última vulnerabilidad de seguridad lo más rápido posible, por lo que es posible que veamos una actualización suplementaria similar, o tal vez acelere el lanzamiento de la versión 10.13.3 de macOS High Sierra.

Mientras tanto, no podemos pensar en una solución obvia para este problema, por lo que si mantienes las preferencias de tu App Store cerradas, querrás estar atento a tu Mac hasta nuevo aviso.

Fuente: Open Radar