Atualização do macOS reativa falha de segurança que libera acesso ao sistema

A pressa é inimiga da perfeição, e essa é uma lição que a Apple está aprendendo a duras penas. Após liberar, na correria, uma atualização para corrigir um bug gravíssimo de segurança na versão High Sierra do macOS, a empresa continuou seu cronograma normal de atualizações para a plataforma, liberando, no último fim de semana, a edição 10.13.1. Ela, entretanto, faz com que a falha que permite acesso ao sistema sem senha retorne à vida.

De acordo com os especialistas, a falha é simples, quase inocente, e fruto, sem dúvida alguma, da correria da fabricante em liberar um update para corrigir o problema. A atualização para o glitch não faria parte da versão 10.13.1, seja por ter sido desenvolvida por um time diferente ou recebido atenção especial. O update, então, remove configurações anteriores e, com isso, restabelece a falha de segurança.

Descoberta há duas semanas, a abertura no sistema operacional permitia o acesso, sem senha, por meio de um usuário administrador do sistema operacional. Bastava digitar “root” como nome de usuário e nenhuma senha, apertando o botão de desbloqueio algumas vezes para que um computador com o macOS fosse liberado e, com ele, todo o acesso a arquivos, configurações do sistema e recursos.

A Apple acelerou e, cerca de 18 horas depois que a falha se tornou conhecida publicamente, uma atualização estava disponível. Todos respiraram aliviados, mas apenas por alguns dias, quando o update 10.13.1 restabeleceu a falha. Felizmente, ela também é de solução simples, bastando reinstalar a correção relacionada ao glitch para que tudo se resolva.

Ainda assim, trata-se de uma falha séria de desenvolvimento, que pode voltar a expor usuários que, agora, acreditem estar seguros. Não apenas é preciso fazer a instalação do update manualmente, ou aguardar isso ser realizado automaticamente, como uma reinicialização do sistema é necessária – mas não solicitada – pela atualização. Assim, mesmo com a correção instalada, os utilizadores permanecem vulneráveis até desligarem a máquina, ou, então, lerem essa reportagem e correrem para realizar o reboot.

A atualização, em si, não solicita a reinicialização da máquina, mas um novo alerta de segurança foi adicionado pela Apple à página da atualização. Foi a única vez que a empresa se pronunciou sobre esse ressurgimento do bug, uma vez que a empresa se manteve calada desde o lançamento do update e os problemas posteriores, dando ainda mais a entender se tratar de um erro.

Os especialistas apontam outra medida para contornar o problema em definitivo: colocar uma senha no usuário root, por meio das configurações do computador. Assim, mesmo que a falha retorne via atualizações futuras, o acesso estará protegido, já que é a falta de uma palavra-chave, justamente, a responsável pela liberação desse tipo de utilização.

Fonte: Wired