Álex Barredo

Apple ha pedido disculpas tras lanzar al mercado un parche de seguridad que afectaba a millones de ordenadores Mac en todo el mundo. En concreto, todos los ordenadores que estuvieran en cualquier subversión de High Sierra, el nuevo sistema operativo de la compañía y cuyo dueño no hubiera establecido una clave de acceso especial y específica para el usuario “Root”.

Esto es algo que pocos hacen, ya que está fuera de los pasos tradicionales para configurar uno de estos ordenadores. El fallo dejaba cualquiera de estos ordenadores expuesto para que se pudiera acceder al mismo simplemente identificándonos escribiendo “root” como nombre de usuario y dejando el campo de contraseña en blanco. Una situación que se daba físicamente o por acceso remoto desde la red.

Lamentamos mucho este error y pedimos disculpas a todos los usuarios de Mac, tanto por haber lanzado el software con esta vulnerabilidad como por la preocupación que ha causado

La compañía se compromete a auditar sus procesos para que este tipo de fallos no lleguen de nuevo a los hogares de millones de personas.

El parche cierra un periodo de 24 horas de caos desde que el error fuese detectado a última hora del martes 28 por un desarrollador de software turco, Lemi Orhan, que lo comentó en Twitter. El mensaje fue adquiriendo visibilidad y pronto fue recogido por los medios tecnológicos. Unas horas después Apple enviaba un comunicado confirmando la inminencia del parche.

Aquí es donde la situación se complica. El fallo, que llevaba meses presente en las versiones beta de High Sierra, ya había sido detectado y comentado de forma ocasional en los foros de soporte de Apple entre otros lugares. Varios usuarios comentaban su experiencia para acceder a sus ordenadores con este método, pero nadie pareció darse cuenta de la importancia. El propio Orhan parece que decidió escribir el tweet después de leer sobre el fallo online y probarlo por su cuenta.

El fallo, denominado “i am root” de forma informal y que recibió el código CVE-2017-13872 como referencia académica futura, recibió un parche en menos de 24 horas que será de obligada instalación para los ordenadores con High Sierra.

Actualiza ya mismo el sistema operativo para recibir el parche de seguridad

Para instalarlo, basta con pinchar en el menú superior izquierdo en la barra de herramientas con el símbolo de la manzana, y seleccionar “Actualización de software”. Todos aquellos que no estén en High Sierra, como por ejemplo versiones anteriores del sistema operativo como Sierra o El Capitan, están seguros en cuanto a este parche se fallo se refiere.

Poco después de la llegada del parche, Apple alertaba de nuevo a sus usuarios que la actualización de seguridad podría hacer imposible compartir ficheros en red. Para solucionarlo, en espera de un posible “parche para el parche”, explica unos pasos en su página web que permiten reestablecer esta capacidad.

Un análisis técnico del fallo revela que cuando el sistema operativo recibía un intento de acceso por una cuenta de usuario que no existe, sea “root” o sea “nombre_inventado_123” el sistema intentará crearla con la clave dada en ese momento. De ahí que fuera necesario hacer dos veces click en el botón.

Los ingenieros de Apple olvidaron añadir (o eliminaron) una comprobación de la función “od_verify_crypt_password” a la hora de comprobar si la cuenta existía y era válida. Por ese motivo, la solución válida antes de que apareciese el parche era crear una cuenta de “root” alternativa con cualquier contraseña para evitar este tipo de acceso.


LEAVE A REPLY