Noticia Qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra

compudemano

compudemano

Moderador
26 Jul 2013
385.347
34
38
Cr 15 13-35 Lc 1 Los Alpes, Pereira - Colombia
www.compudemano.com
650_1200.jpg
Ayer se descubrió un error de seguridad muy grave en macOS High Sierra, que describimos en Applesfera junto con su solución. Este error permite a un usuario que actúa como invitado en un Mac con High Sierra crear un perfil bajo el nombre "root" con permisos de administrador sin necesidad de ninguna contraseña. Con independencia de la severa e inexcusable gravedad del error, la forma en que se ha informado de él no ha sido la correcta por parte del usuario que lo ha encontrado.

Un "protocolo" para minimizar riesgos públicos


650_1200.jpg
En este tipo de temas, existe un periodo de gracia que se concede a las compañías tecnológicas responsables de sistemas operativos, servicios online y software. Por lo general, cuando alguien descubre un error o vulnerabilidad se suele informar en privado a la compañía afectada. La intención es que ese error de seguridad pueda corregirse lo antes posible sin hacerlo público, evitando que se expanda su uso antes de que exista una solución a disposición del público.

Aunque haya grupos criminales, gobiernos o usuarios que ya lo estén explotando, hacerlo público lo único que consigue es atraer más atención al error y que se utilice aún más. Aquí hay también una norma no escrita de conceder alrededor de 60 días para su corrección según recomienda el blog de Google, tiempo tras el cual quien descubrió el error puede hacerlo público. Esta sería un arma de último recurso, para obligar a la empresa responsable a corregirlo consiguiendo presión exterior.

Otros errores de seguridad en iOS se hicieron públicos una vez que se había lanzado un parche que los arreglaba

En el caso de Apple, hace poco más de un año vimos el célebre Pegasus, un conjunto de exploits en iOS 9 que permitía a quien los conocía enviar un enlace a la víctima que si se pinchaba, otorgaba control sobre cámaras, GPS y micrófonos del dispositivo atacado. Los descubridores de estos errores informaron a Apple, que lanzó con rapidez y de forma inesperada iOS 9.3.5 corrigiendo el problema.
650_1200.jpg


Otro caso sonado sucedió el año pasado, cuando Google publicó un fallo crítico de Windows tan sólo 10 días después de informar a la compañía fundada por Bill Gates. Microsoft tardó otros 20 días adicionales en lanzar un parche que solucionaba este y otros errores en su sistema operativo. Google fue criticada en su momento por no conceder más tiempo a Microsoft y haber esperado a que tuvieran listo el parche, ya que abrió una ventana de tiempo en que los equipos afectados no tenían solución posible.

Cómo notificar errores de seguridad a Apple


650_1200.png
Divulgar un error sin esperar a un parche de seguridad no es inusual. Se suele hacer cuando se ha informado a la compañía afectada y ésta ignora o no se toma en serio el problema para forzar su actuación. Sin embargo, en el caso del error descubierto ayer, el desarrollador no siguió este protocolo y no concedió a Apple la cortesía de notificarlo por las vías adecuadas.


Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?

— Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017

Decidió hacerlo público en Twitter en el instante que lo descubrió, exponiendo a más usuarios al riesgo de este error que, por supuesto, es responsabilidad exclusiva de Apple. Una vez que descubres el error de seguridad lo normal es otorgar la cortesía a la compañía para arreglarlo en un tiempo razonable. En el caso de encontrar agujeros de seguridad, se puede notificar a Apple siguiendo estos pasos:

Hay una manera de notificar errores de seguridad a Apple directamente mediante un email, antes de hacerlo público
  • Escribir un email a [email protected] especificando el problema.
  • Tras su envío, deberías recibir un email automático de respuesta. Si no lo recibes, comprueba la dirección de nuevo.
  • Puedes cifrar información sensible en tu email siguiendo esta guía.

Además de seguir esta forma de notificación de fallos de seguridad, Apple informa que:

Con el fin de proteger a nuestros clientes, por lo general Apple no divulga, debate o confirma problemas de seguridad hasta que se ha realizado una investigación completa y se han publicado los parches o actualizaciones pertinentes.​

Los fallos de seguridad son demasiado importantes como para hacerlos público sin notificarlo antes a la compañía afectada, dándole la oportunidad de resolverlos antes de que quienes no lo conocían se aprovechen. En este caso, el desarrollador que lo ha encontrado debería haber acudido antes a Apple. Cosa que, por la razón que sea, no hizo.

Cómo corregir el error hasta que Apple publique una actualización


650_1200.jpg
Apple ha respondido oficialmente que está "trabajando en una actualización de software para resolver este problema". Mientras tanto, ha dado a conocer una guía para corregirlo. Para activar el usuario root, puedes seguir los pasos descritos en este documento de seguridad publicado por Apple en español.

Una vez hecho esto o si ya tenías activado este usuario, tendrás que seguir estos pasos para cambiar su contraseña (aquí las instrucciones originales en inglés):

  1. En tu Mac, ve al menú Apple () > Preferencias de Sistema > Usuarios y grupos.
  2. Haz click en el candado, después introduce el nombre del administrador y la contraseña.
  3. Ve a Opciones de inicio.
  4. Haz click en unirse o editar.
  5. Ve a la app Directory Utility.
  6. Después, hacemos clic en el candado en la esquina inferior izquierda, para poder hacer cambios. En la ventana emergente, ingresamos nuestro nombre de usuario y contraseña, para luego hacer clic en Modificar configuración.
  7. Después de esto, hacemos clic en Editar en la barra de menú y seleccionamos Cambiar contraseña de root.
  8. En la ventana emergente, ingresamos una contraseña y la verificamos, para luego hacer clic en Aceptar.
  9. En la ventana principal de Directory Utility, hacemos clic en el candado para bloquearlo nuevamente y evitar más cambios.
  10. Finalmente, salimos de Directory Utility y hemos quedado protegidos de la vulnerabilidad.

Con esto estarás protegido de la vulnerabilidad encontrada ayer en macOS High Sierra, hasta que Apple lance una actualización oficial que corrija el problema.

En Applesfera | Descubierta una vulnerabilidad que da acceso como administrador en macOS High Sierra.

También te recomendamos

Un sueño de cristal y oro para decorar tu piso esta Navidad

Estas son las apps profesionales de Apple que serán compatibles con macOS High Sierra

La tecla de reproducción/pausa funcionará con los contenidos de Safari en macOS High Sierra

-
La noticia Qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra fue publicada originalmente en Applesfera por Eduardo Archanco .

IBYvqgjpsNY


Continúar leyendo...
 
Iniciar sesión o registrarme para responder aquí.
Arriba Abajo