• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / macOS High Sierra: Una pista de contraseña demasiado explícita…

macOS High Sierra: Una pista de contraseña demasiado explícita…

7 octubre, 2017 Por Hispasec Deja un comentario

La nueva versión de macOS, High Sierra, con apenas dos semanas de vida, fue lanzada con una vulnerabilidad en la utilidad de discos que muestra la contraseña de un volumen cifrado en la pista de la contraseña.

‘mypassword’ es realmente la contraseña. Extraída de medium.com



Apple lo ha vuelto a hacer. Esta vez afectando a volúmenes cifrados desde su utilidad de discos. Matheus Mariano, un desarrollador de software brasileño, se topó con esta ¿vulnerabilidad? cuando creaba un nuevo volumen cifrado en el nuevo sistema de ficheros APFS. La vulnerabilidad, CVE-2017-7149, es de lo más absurda: la contraseña que se especifica en la creación del volumen se muestra en la pista de contraseña, en vez de la pista de contraseña especificada.

Afecta a los Mac’s con SSD’s, ya que si bien hay maneras de poner APFS a discos duros tradicionales, Apple parece que no se termina de decidir y pone y quita soporte a éstos. APFS fue desarrollado con los SSD’s en mente, y enfocado al cifrado, lo que es irónico vista esta vulnerabilidad… Aunque realmente no es un fallo del sistema de archivos APFS, sino de la utilidad gráfica de disco que viene con el sistema operativo. Se puede utilizar la utilidad de disco en su versión de consola, que no presenta este fallo.

Este tipo de vulnerabilidades da que pensar sobre los controles de calidad que pasa el software hoy día. Lo cierto es que es un fallo de programación tan simple que no deja lugar a elucubraciones sobre su origen: es seguramente un despiste en la programación de la interfaz gráfica. Uno puede imaginar que el programador tenía que extraer información de varias cajas de texto, entre ellas las de la contraseña y la pista de contraseña. Para no escribir varias veces casi la misma línea de código que extraería el texto de cada una de ellas, la copias varias veces y luego retocas cada una. Pero se te olvida cambiar la referencia de la pista de contraseña y la dejas apuntando a la contraseña…

Apple ya ha publicado un documento de soporte para esta vulnerabilidad, donde expone que la solucion es básicamente reformatear el volumen (previa copia de seguridad) tras haber instalado la actualización que corrige la vulnerabilidad. Esta actualizacion, llamada macOS High Sierra 10.13 Supplemental Update, además corrige la vulnerabilidad CVE-2017-7150 también relacionada con la revelación de contraseñas, que ya cubrimos en su día aquí.

Carlos Ledesma
@Ravenons

Más información:

New macOS High Sierra vulnerability exposes the password of an encrypted APFS container
https://hackernoon.com/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

Apple Support Document HT208168
https://support.apple.com/en-us/HT208168

macOS High Sierra 10.13 Supplemental Update
https://support.apple.com/en-us/HT208165

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ataque a la plataforma cripto deBridge Finance
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Reacción ante ciberataques... en vacaciones
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Entradas recientes

  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec