Ayer por la tarde, Apple lanzaba una
nueva versión de su sistema operativo de escritorio macOS 10.13 High Sierra,
una versión que, aunque no ha llegado con grandes cambios ni mejoras visuales,
sí que ha implementado un gran número de cambios y optimizaciones a nivel interno
para mejorar el funcionamiento general de este sistema. Por desgracia, no todo
ha ido como se esperaba y, además de algunos problemas a la hora de descargar e
instalar la actualización, esta nueva versión de macOS se ha visto afectada por
una grave vulnerabilidad 0-day que puede poner en peligro las contraseñas de
los usuarios.
Por defecto, todas las contraseñas de
macOS se guardan en lo que se conoce como el llavero, o “Keychain”. Dentro de
esta base de datos, las contraseñas se guardan cifradas y protegidas frente a
accesos no autorizados para evitar que cualquier usuario malintencionado pueda
acceder a ellas.
Tal como podemos leer en el conocido
blog de seguridad Bleeping Computer, poco después de que Apple liberara la
nueva versión de su sistema macOS 10.13 High Sierra, un conocido experto de
seguridad ha hecho pública una vulnerabilidad del tipo 0-day presente en esta
versión que permite a cualquier aplicación descargada a un espacio de trabajo
saltarse las medidas de seguridad de este llavero y acceder a todas las
contraseñas en texto plano, sin ningún tipo de seguridad.
Esta vulnerabilidad puede explotarse
fácilmente con un sencillo malware que, una vez realice un volcado de la base
de datos de contraseñas, podría subirlo a un servidor remoto, brindando a los
piratas informáticos de acceso a todas estas claves, las cuales podrían
utilizarse más adelante para llevar a cabo otros ataques informáticos más
directos.
Fuente : Bleeping Computer