EnĀ macOS 10.13 High Sierra se aƱade una nueva caracterĆstica de seguridad relacionada con las extensiones del sistema. Esta caracterĆstica solicita por parte del usuario una aprobaciĆ³n antes de la carga de estas extensiones incluso cuando estĆ”n firmadas por el desarrollador. Esta caracterĆstica requerirĆ” cambios en algunas aplicaciones e instaladores para preservar la experiencia de usuario.
Esta funciĆ³n impone que sĆ³lo las extensiones del kernel aprobadas por el usuario se carguen con elĀ sistema. Cuando se realiza una solicitud para cargar un KEXT que el usuario aĆŗn no ha aprobado, la solicitud de carga se deniega y macOS presentaĀ una alerta. Las extensiones de Kernel no firmadas se seguirĆ”n rechazando de forma automĆ”tica tal como ocurre enĀ macOS Sierra.
Este cuadro de diĆ”logo solicitarĆ” al usuario que apruebe la carga de la extensiĆ³n de Kernel a travĆ©s del panel de control Seguridad y Privacidad en Preferencias del Sistema.
Cuando un usuario proporciona la aprobaciĆ³n, en realidad estĆ”n aprobando todos los otros KEXTs firmados por el mismo ID de equipo que se encuentra en el mismo lugar que el KEXT aprobado. Si el KEXT aprobado se encuentra en el paquete de la aplicaciĆ³n, tambiĆ©n se aprueban todos los otros KEXT firmados por el mismo ID de equipo en el paquete de la misma aplicaciĆ³n.
Si el KEXT aprobado se encuentra en el subdirectorio de la aplicaciĆ³n /Library/Application Support , o en /Library/Extensions , tambiĆ©n se aprueban todos los KEXTs firmados por el mismo ID de equipo que se encuentran en ese mismo directorio.
Una vez aprobado, el KEXT serĆ” inmediatamente cargado o agregado a la cachĆ© de kernel pre-enlazada, dependiendo de la acciĆ³n bloqueada. Las solicitudes subsiguientes para cargar el KEXT procederĆ”n en segundo plano sin intervenciĆ³n del usuarioĀ como en versiones anteriores de macOS. Las extensiones de kernel se rastrean a travĆ©s del identificador de equipo y el requisito designado en sus firmas de cĆ³digo, por lo que actualizar un KEXT que ya ha sido aprobado no activarĆ” una nueva solicitud de aprobaciĆ³n.
Los instaladores y las aplicaciones que cargan las extensiones del kernel pueden necesitar ser revisadas para manejar correctamente la extensiĆ³n del kernel al no cargarse. Muchas aplicaciones tratan un fallo de carga de KEXT como un fallo duro. Algunos instan al usuario a reinstalar, algunos presentan un mensaje de error crĆptico, y algunos simplemente no funcionan.
A partir de MacOS High Sierra, los instaladores y las aplicaciones que cargan KEXT deberĆan esperar que la carga de KEXT falle si el usuario no ha aprobado su KEXT. En lugar de tratar esto como un error, el usuario debe ser informado de que es posible que tenga que aprobar el KEXT.
Para determinar si un KEXT ha fallado al cargar porque no tiene el consentimiento del usuario:
- Si estƔs utilizando
kextutilokextload, comprueba el cĆ³digo de salida 27. AdemĆ”s,kextutilproducirĆ” el mensaje de errorSystem policy prevents loading the kernel extension. - Si estĆ”s utilizando las API de
IOKit/kext/KextManager.henIOKit/kext/KextManager.h, comprueba el cĆ³digo de resultadokOSKextReturnSystemPolicy.
Al respecto de la distribuciĆ³n de aplicaciones de para empresa, para implementaciones empresariales en las que es necesario distribuir software que incluya extensiones de kernel sin requerir la aprobaciĆ³n del usuario, es necesario arrancarĀ usando la particiĆ³n deĀ recuperaciĆ³n de macOS y utilizarĀ spctl kext-consent . Este comando puede desactivar completamente el requisito de aprobaciĆ³n del usuario o especificar una lista de ID de equipo cuyos KEXT se pueden cargar sin la aprobaciĆ³n del usuario. Para obtener mĆ”s informaciĆ³n, ejecuta el comando spctl help .
spctl funciona en cualquier entorno de instalaciĆ³n, incluido el SO de recuperaciĆ³n y las imĆ”genes NetBoot / NetInstall / NetRestore.
