macOS acepta cualquier palabra o frase como contraseña en los ajustes de la App Store
Dos meses después de que se descubriera que macOS permitía el acceso como administrador (root) sin contraseña, el reporte de un nuevo error muestra que la versión actual, High Sierra, permite desbloquear el panel de preferencias de la App Store introduciendo cualquier contraseña.
Aparentemente, el fallo descubierto hace unos días no es tan grave como el anterior, sin embargo, el hecho de que el prompt de contraseña de macOS de por bueno cualquier cadena de caracteres termina siendo un fallo bastante grave que hace preguntarnos qué está fallando en el sistema de Apple.
Poner en funcionamiento el fallo es sencillo, ya que el usuario solo tiene dirigirse a las Preferencias del Sistema, luego a los ajustes de la App Store y después hacer clic sobre el icono del candado. En caso de estar desbloqueado, el usuario tendría que bloquearlo y luego volver a intentar desbloquearlo introduciendo cualquier cadena de caracteres. Tras hacer eso, descubrirá que cualquier palabra es válida para desbloquear los ajustes de la tienda en macOS.
Mediante el panel de preferencias de la App Store se puede habilitar o inhabilitar las descargas y las instalaciones automáticas de las aplicaciones, además de las actualizaciones del propio macOS. Afortunadamente, el daño que se puede causar desde ese punto es limitado, pero si alguien tiene acceso al ordenador podría inhabilitar las actualizaciones automáticas para impedir la instalación de los parches regulares contra las vulnerabilidades, y aquí sería importante mencionar los conocidos Meltdown y Spectre, ya que ambos afectan a los ordenadores Mac al usar estos CPU Intel.
Como ya hemos dicho, de momento parece que este problema no es muy grave, sin embargo, quizá para los usuarios que estén más preocupados por su seguridad sería conveniente saber que todos los usuarios administradores tienen autorizado el manipular la preferencias de la App Store, por lo que podría ser una buena idea limitar su acceso. Apple ya ha comunicado que el parche para corregir este fallo ya está disponible en el canal beta de las actualizaciones para macOS High Sierra.
Fuente: TechCrunch
Via: www.muyseguridad.net