Actualización: Apple ha lanzado una actualización que resuelve la vulnerabilidad. Según señala la compañía, los usuarios de macOS High Sierra deberían instalarla lo antes posible.
Noticia original: Los usuarios de un ordenador Apple actualizado a macOS High Sierra están potencialmente afectados por un gravísimo fallo de seguridad gracias al cual cualquier usuario podría acceder al equipo con privilegios root sin necesidad si quiera de conocer la contraseña. El proceso, tan sumamente sencillo que resulta difícil de comprender cómo pudo escapar a la fase de testeo, ha sido hecho público por un usuario de Twitter, poniendo sobre aviso a otras personas y a la propia Apple.
Tal y como puede comprobar cualquier usuario de macOS High Sierra, para acceder a un equipo con privilegios de administración completos tan solo hay que dirigirse a una ventana que requiera un nombre de usuario y una clave. A continuación basta con introducir "root" como nombre (sin comillas) y dejar en blanco el campo correspondiente a la contraseña. Y eso es todo. Como mucho, en algunos casos pueden ser necesarios varios intentos.
El fallo afecta a todos los equipos con acceso para invitados o que no hayan cambiado la contraseña root, que posiblemente son la mayoría.
En su estado actual el fallo requiere acceso físico al equipo. No obstante, ArsTechnica señala la preocupación de algunos investigadores, que creen que el componente afectado por la vulnerabilidad podría ser utilizado para lanzar un ataque de escalada de privilegios gracias al cual se podría reproducir de forma remota o mediante algún tipo de malware, sin necesidad de estar en contacto directo con el ordenador.
Si bien esta no es la primera vulnerabilidad descubierta en High Sierra, sí es con mucha diferencia la más grave hasta el momento. Apple ya ha anunciado que está trabajando en algún tipo de parche para solucionarla. Mientras tanto, la recomendación oficial es no desactivar el usuario root (puesto que puede ser reactivado fácilmente con solo introducirlo en la pantalla de login), protegiéndolo en su lugar con una contraseña compleja según se indica en el sitio del fabricante.
Noticia original: Los usuarios de un ordenador Apple actualizado a macOS High Sierra están potencialmente afectados por un gravísimo fallo de seguridad gracias al cual cualquier usuario podría acceder al equipo con privilegios root sin necesidad si quiera de conocer la contraseña. El proceso, tan sumamente sencillo que resulta difícil de comprender cómo pudo escapar a la fase de testeo, ha sido hecho público por un usuario de Twitter, poniendo sobre aviso a otras personas y a la propia Apple.
Tal y como puede comprobar cualquier usuario de macOS High Sierra, para acceder a un equipo con privilegios de administración completos tan solo hay que dirigirse a una ventana que requiera un nombre de usuario y una clave. A continuación basta con introducir "root" como nombre (sin comillas) y dejar en blanco el campo correspondiente a la contraseña. Y eso es todo. Como mucho, en algunos casos pueden ser necesarios varios intentos.
El fallo afecta a todos los equipos con acceso para invitados o que no hayan cambiado la contraseña root, que posiblemente son la mayoría.
En su estado actual el fallo requiere acceso físico al equipo. No obstante, ArsTechnica señala la preocupación de algunos investigadores, que creen que el componente afectado por la vulnerabilidad podría ser utilizado para lanzar un ataque de escalada de privilegios gracias al cual se podría reproducir de forma remota o mediante algún tipo de malware, sin necesidad de estar en contacto directo con el ordenador.
Si bien esta no es la primera vulnerabilidad descubierta en High Sierra, sí es con mucha diferencia la más grave hasta el momento. Apple ya ha anunciado que está trabajando en algún tipo de parche para solucionarla. Mientras tanto, la recomendación oficial es no desactivar el usuario root (puesto que puede ser reactivado fácilmente con solo introducirlo en la pantalla de login), protegiéndolo en su lugar con una contraseña compleja según se indica en el sitio del fabricante.
[facepalm]
Correcto , seguro que no tardan en actualizarlo
[facepalm]
De todas formas eso no es ni si quiera un bug, bastaría con, en la primera instalación (o después de instalar el parche) obligar al usuario a introducir una contraseña de root.
O lo que hacen muchas distribuciones de Linux (y yo pensaba que también hacía OSX), poner a root la misma contraseña que el usuario que instala el SO.
Lo pone arriba...aunque se desactive se puede reactivar, lo que hay que hacer es ponerle una contraseña y listo, luego lo desactivas si quieres... la solución es simple.