MacOS High Sierra fue lanzada el 25 de septiembre. Ahora, unos días después de su lanzamiento, Apple ha tenido que sacar un parche de emergencia para corregir la filtración de contraseña de los volúmenes cifrados. Al pulsar el botón Password hint (sugerencia de contraseña), ésta era revelada. Así pues, parece que la nueva versión de Apple sigue sin comenzar con buen pie. Son muchos los usuarios que han estado expuestos a este grave fallo de seguridad.
Parche de emergencia
Apple ha emitido un parche de emergencia para MacOS High Sierra. Una actualización de seguridad para solucionar este error que exponía las contraseñas de los volúmenes de APFS cifrados a través de la característica de sugerencia de contraseña. Sin duda un error más que importante.
Los compañeros de Softzone se hacen eco hoy de otras dos vulnerabilidades resueltas recientemente por Apple para MacOS High Sierra.
El error ha sido descubierto por el investigador de seguridad brasileño Matheus Mariano de Leet Tech. Hay que destacar que este problema únicamente afecta a la versión MacOS High Sierra cuando los usuarios agregan un nuevo volumen APFS cifrado.
Cuando el usuario monta el volumen APFS y se le pide que ingrese la contraseña antes de poder acceder a los datos, si el usuario presiona el botón de sugerencia de contraseña, se mostrará la contraseña del usuario en lugar de la sugerencia. Claramente es un sinsentido y queda totalmente expuesta la clave.
Sugerencia de contraseña
Sin embargo hay que añadir que este error solamente ocurre a aquellos usuarios que han puesto una sugerencia de contraseña. Es decir, si alguien cifró el volumen simplemente y no añadió ninguna sugerencia de contraseña como recordatorio en caso de olvido, este bug no le afecta para nada.
El problema afecta sólo a los Macs con unidades SSD, donde se admite el nuevo sistema de archivos APFS de Apple.
En comparación con otras instancias de informes de errores, Apple se ha movido rápidamente para acabar con el error. Se recomienda a los usuarios que actualicen o, al menos, eliminen la sugerencia de contraseña, para que el error no se manifieste. Todo esto en caso de que tuvieran una sugerencia de contraseña puesta, como hemos mencionado.
Además, Apple también ha lanzado una página de soporte con pasos para realizar una copia de seguridad, borrar y restaurar el volumen APFS cifrado después de la actualización del sistema operativo.
Otros errores
La misma actualización complementaria también corrigió un zero-day en la aplicación Keychain que exponía las contraseñas de la aplicación en texto plano, descubierto por el investigador de seguridad Patrick Patrick Wardle.
Así pues, Apple ha tenido que lanzar un parche de seguridad de manera urgente para acabar con este serio problema. Los usuarios que tuvieran una sugerencia de contraseña lo mejor es que actualicen o directamente quiten esa pista para recordar la clave en caso de olvido. Sólo así podrán estar completamente seguros.
Recientemente publicamos un artículo donde explicábamos que Apple había arreglado una vulnerabilidad para MacOS de forma silenciosa. Este fallo podría haber permitido a los atacantes pasar por alto el sistema de cuarentena de archivos incorporado al sistema operativo de la manzana mordida.