miércoles, 29 de noviembre de 2017

En un gran fallo de Apple, macOS High Sierra permite iniciar sesión como administrador sin necesidad de contraseña


NOTICIA DE XATAKA.COM


Hace tan sólo unos minutos, se empezó a difundir en Twitter una vulnerabilidad dentro de macOS High Sierra de Apple, la cual nos permite acceder a la configuración del sistema sin contraseña. Un fallo que incluso nos permite crear otro usuario con privilegios de administrador que de igual forma no necesita contraseña para acceder.

Lo sorpresivo de todo esto, es que el proceso es extremadamente sencillo, sólo se necesita entrar a las preferencias del sistema y en el apartado de 'Usuarios y Grupos' entrar con el usuario 'Root' sin contraseña, el cual después de algunos intentos nos dará acceso.

Apple no se ha pronunciado al respecto

En mi caso, tengo instalado macOS 10.13.1, la más reciente versión del operativo de escritorio de Apple, y puedo constatar que la vulnerabilidad está presente.

Al autenticarse bajo este método, se tiene pleno acceso a la configuración del sistema de una forma extremadamente sencilla y rápida, sin ningún tipo de obstrucción. Al tener este acceso se pueden crear nuevos usuarios con perfil de administrador, ver y modificar archivos, restablecer o cambiar contraseñas de los usuarios existentes, incluso se puede eliminar el perfil de Apple ID ligado a esos usuarios, lo que haría que dichas personas perdieran acceso a sus ordenadores.

Vamos, con este acceso se pueden realizar varios movimientos si alguien deseara poner en jaque ya sea un ordenador o una red de dispositivos, por lo que estamos ante un verdadero problema que necesita solución cuanto antes, ya que ahora mismo no hay forma de detenerlo, a menos que evitemos que cualquier persona no autorizada tenga acceso a nuestro Mac o Macbook.

En cuanto tengamos alguna respuesta por parte de Apple actualizaremos esta entrada.


|----------|

Just a few minutes ago, a vulnerability in macOS High Sierra of Apple began to spread on Twitter, which allows us to access the system configuration without a password. A bug that even allows us to create another user with administrator privileges that likewise does not need a password to access.

The surprise of all this, is that the process is extremely simple, you only need to enter the preferences of the system and in the section of 'Users and Groups' enter with the user 'Root' without password, which after some attempts we will give access.

Apple has not ruled on the matter

In my case, I have installed macOS 10.13.1, the latest version of Apple's desktop operation, and I can confirm that the vulnerability is present.

When authenticated under this method, you have full access to the configuration of the system in an extremely simple and fast way, without any type of obstruction. By having this access you can create new users with administrator profile, view and modify files, reset or change passwords of existing users, you can even delete the Apple ID profile linked to those users, which would cause these people to lose access to your computers.

Come on, with this access you can make several movements if someone wanted to put in check either a computer or a network of devices, so we are facing a real problem that needs to be solved as soon as possible, because right now there is no way to stop it, unless we prevent any unauthorized person from accessing our Mac or Macbook.

As soon as we have an answer from Apple we will update this entry.

No hay comentarios: