MacOS High Sierra fue
lanzada el 25 de septiembre. Ahora, unos días después de su lanzamiento, Apple
ha tenido que sacar un parche de emergencia para corregir la filtración de
contraseña de los volúmenes cifrados. Al pulsar el botón Password hint
(sugerencia de contraseña), ésta era revelada. Así pues, parece que la nueva
versión de Apple sigue sin comenzar con buen pie. Son muchos los usuarios que
han estado expuestos a este grave fallo de seguridad.
Parche de emergencia
Apple ha emitido un
parche de emergencia para MacOS High Sierra. Una actualización de seguridad
para solucionar este error que exponía las contraseñas de los volúmenes de APFS
cifrados a través de la característica de sugerencia de contraseña. Sin duda un
error más que importante.
Los compañeros de
Softzone se hacen eco hoy de otras dos vulnerabilidades resueltas recientemente
por Apple para MacOS High Sierra.
El error ha sido
descubierto por el investigador de seguridad brasileño Matheus Mariano de Leet
Tech. Hay que destacar que este problema únicamente afecta a la versión MacOS
High Sierra cuando los usuarios agregan un nuevo volumen APFS cifrado.
Cuando el usuario
monta el volumen APFS y se le pide que ingrese la contraseña antes de poder
acceder a los datos, si el usuario presiona el botón de sugerencia de
contraseña, se mostrará la contraseña del usuario en lugar de la sugerencia.
Claramente es un sinsentido y queda totalmente expuesta la clave.
Sugerencia de contraseña
Sin embargo hay que
añadir que este error solamente ocurre a aquellos usuarios que han puesto una
sugerencia de contraseña. Es decir, si alguien cifró el volumen simplemente y
no añadió ninguna sugerencia de contraseña como recordatorio en caso de olvido,
este bug no le afecta para nada.
El problema afecta
sólo a los Macs con unidades SSD, donde se admite el nuevo sistema de archivos
APFS de Apple.
En comparación con
otras instancias de informes de errores, Apple se ha movido rápidamente para
acabar con el error. Se recomienda a los usuarios que actualicen o, al menos,
eliminen la sugerencia de contraseña, para que el error no se manifieste. Todo
esto en caso de que tuvieran una sugerencia de contraseña puesta, como hemos
mencionado.
Además, Apple también
ha lanzado una página de soporte con pasos para realizar una copia de
seguridad, borrar y restaurar el volumen APFS cifrado después de la
actualización del sistema operativo.
Otros errores
La misma
actualización complementaria también corrigió un zero-day en la aplicación
Keychain que exponía las contraseñas de la aplicación en texto plano,
descubierto por el investigador de seguridad Patrick Patrick Wardle.
Así pues, Apple ha
tenido que lanzar un parche de seguridad de manera urgente para acabar con este
serio problema. Los usuarios que tuvieran una sugerencia de contraseña lo mejor
es que actualicen o directamente quiten esa pista para recordar la clave en
caso de olvido. Sólo así podrán estar completamente seguros.
Recientemente
publicamos un artículo donde explicábamos que Apple había arreglado una
vulnerabilidad para MacOS de forma silenciosa. Este fallo podría haber
permitido a los atacantes pasar por alto el sistema de cuarentena de archivos
incorporado al sistema operativo de la manzana mordida.
Fuente: Bleeping
Computer