Se ha descubierto un nuevo hueco de seguridad en macOS High Sierra que permite cambiar la configuración del App Store desde las Preferencias de Sistema usando cualquier contraseña. El problema está presente en la versión 10.13.2 del sistema operativo y se ha resuelto en la próxima versión (que ya está en beta).
Los pasos para reproducir la vulnerabilidad son los siguientes:
- Acceder a Preferencias del Sistema
- Hacer clic en App Store
- Hacer clic en el candado para desbloquear
- Poner cualquier contraseña
- Desbloquear
El panel de sistema se desbloquea y se puede cambiar cualquiera de las opciones. Aunque quien se aproveche de esta vulnerabilidad no podría obtener datos privados, sí que podría deshabilitar las actualizaciones automáticas sin que el dueño del Mac se entere. Las actualizaciones automáticas resuelven problemas como este.
La vulnerabilidad fue publicada días atrás en Open Radar y descubierta por MacRumors.
macOS High Sierra: el mayor dolor de cabeza de Apple
macOS High Sierra parece ser un inmenso dolor de cabeza para Apple. Semanas atrás se descubrió que cualquier persona podía obtener acceso de superadministrador en cualquier Mac con el sistema operativo simplemente usando el usuario root y ninguna contraseña, que es el mayor error de seguridad de la historia de la compañía.
Que se pueda acceder a un panel de las preferencias de sistema usando cualquier contraseña muestra que definitivamente hay un problema severo en el control de calidad, al menos desde un punto de vista de la seguridad, dentro de Apple, que debe resolverse cuanto antes y tomar los pasos necesarios para que nunca más se vuelva a repetir.
macOS High Sierra 10.13.3 resuelve este problema y suponemos será lanzado en las próximas horas, o al menos un parche de seguridad.