Ir al contenido
actualización de seguridad Apple
Productos y Servicios PRODUCTOS Y SERVICIOS

Ya están disponibles las últimas actualizaciones de Apple para iPhone y Mac

Cuando se trata de actualizaciones, Apple no es “predecible”.

Otras organizaciones como Microsoft, Mozilla y Adobe son conocidas por publicar actualizaciones no solo con frecuencia sino regularmente.

De hecho, de esas compañías, no solo obtienes actualizaciones al menos una vez al mes (o una vez cada cuatro semanas para Mozilla), sino que las preanunciadas siempre están programadas para llegar los martes.

Nunca los lunes, porque algunas grandes organizaciones tienen políticas TI que establecen los lunes para aclarar cualquier crisis que pueda haber sucedido durante el fin de semana anterior.

Nunca los viernes, en caso de cualquier crisis que pueda surgir en el fin de semana inmediatamente siguiente como resultado.

Y nunca los miércoles o jueves, porque el martes le da la mayor cantidad de días libres antes de que llegue el viernes y se cierre la llamada “ventana de cambio”.

Apple, por otro lado, sigue un enfoque distinto, de modo que las actualizaciones de macOS e iOS, con excepciones muy ocasionales, aparecen inesperadamente, sin previo aviso de la naturaleza, escala o importancia de lo que se está arreglando:

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias.

La idea parece ser dar a los ciberdelincuentes la menor cantidad de pistas sobre dónde podrían estar los últimos errores, y la menor cantidad de datos anticipados sobre dónde comenzar a buscar.

En otras palabras, los ciberdelincuentes tienen muy poco para continuar, excepto lo que pueden obtener de la ingeniería inversa de los parches y comparar el nuevo código con el antiguo, y solo descubren con seguridad cómo se ven los parches al mismo tiempo que el resto de nosotros podemos descargarlos e implementarlos.

Por otro lado, el silencio de Apple a veces puede ser molesto y difícil de entender, porque significa que sus usuarios nunca pueden estar seguros de cuándo se solucionarán los errores ya conocidos en los componentes de código abierto que se envían con los productos de Apple.

Por ejemplo, la última actualización incluye un parche para versiones anteriores de macOS para CVE-2019-20807, un error de ejecución remota de código en Vim, un editor de texto de código abierto que se incluye como parte de la distribución de macOS y es extremadamente popular y ampliamente utilizado en el comunidad técnica:

Vim

Disponible para: macOS High Sierra 10.13.6 y macOS Mojave 10.14.6

Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2019-20807: Guilherme de Almeida Suckevicz

Ese error ha sido bien documentado desde principios de 2020, y claramente se remonta a 2019, por lo que la política de Apple de no decir si está investigando vulnerabilidades ya conocidas o no, sino basada en  guardar silencio hasta que aparezca una actualización, deja a los usuarios inseguros en cuanto a si:

  • La implementación de Apple del producto vulnerable está construida de tal manera que sea inmune.
  • Apple es consciente de la vulnerabilidad, pero ha decidido que no es importante y no planea solucionarla.
  • Apple es consciente de la vulnerabilidad y ya la ha reparado, pero aún no ha enviado la solución.
  • Apple no se ha dado cuenta de que la vulnerabilidad incluso existe y no la corregirá por esa razón.

Por supuesto, ahora sabemos que Apple conocía el problema de Vim mencionado anteriormente, y lo ha solucionado por fin, por lo que cualquier usuario que se lo preguntara ahora puede descartarlo de su lista de preocupaciones pero guardar silencio incluso sobre errores que ya son conocidos, así como documentados y corregidos por otros proveedores, parece una elección extraña.

¿Qué se ha arreglado?

Algunas de los parches de macOS nos llamaron la atención:

Varios errores de manejo de archivos podrían conducir a la ejecución remota de código. Se corrigieron errores que se podían utilizar para implantar malware simplemente abriendo un archivo multimedia malicioso. Las bibliotecas del sistema CoreAudio, ImageIO y Model I/O tienen errores de procesamiento de archivos, pero Apple no ha dado una lista exhaustiva de qué formatos de archivo son los peligrosos. (Ver CVE-2020-9884, CVE-2020-9889, CVE-2020-9888, CVE-2020-9890, CVE-2020-9891, CVE-2020-9866, CVE-2020-9936, CVE-2020-9878. )

Ten en cuenta que incluso si existe un error en un tipo de archivo que nunca se usa, como un formato de vídeo o imagen obsoleto, aún se corre el riesgo de descargas web maliciosas o archivos adjuntos de correo electrónico.

Después de todo, el sistema operativo sabe qué tipos de archivos puede manejar y generalmente elegirá qué código de procesamiento de archivos usará automáticamente, por lo que los delincuentes no tienen que depender de múltiples pasos para descubrir cómo infectarte por error cuando te envían archivos con extensiones de las que nunca has oído hablar.

Un error en macOS Crash Reporter podría permitir que se escape de un sandbox. El sandbox se usa para evitar que el software use partes del sistema que nunca necesitará, minimizando así el daño que puede causar, incluso por accidente. Por lo tanto, existe una ironía en que una herramienta maliciosa podría abusar de la herramienta que se supone que debe enviar informes de seguridad a Apple para evitar que se salga de esas restricciones de seguridad de sandox. (Ver CVE-2020-9865.)

Varios errores a nivel del kernel que podrían conducir a la ejecución remota de código con el máximo privilegio. La implantación de malware a través de un exploit de kernel le da a un atacante mucho más control que simplemente hacerse cargo de una cuenta de usuario normal, y más incluso que obtener un inicio de sesión de nivel de administrador (root). (Ver: CVE-2020-9799, CVE-2019-14899, CVE-2020-9864.)

Un agujero de VPN que podría permitir que alguien se meta con el tráfico de red cifrado. En palabras de Apple, “un atacante en una posición de red privilegiada puede inyectarse en conexiones activas dentro de un túnel VPN”. (CVE-2019-14899.)

También hay un muchas correcciones en Safari, que incluyen parches para vulnerabilidades de ejecución remota de código, que debes descargar por separado si todavía usas macOS Mojave o High Sierra. (En la última versión, macOS Catalina, la actualización de Safari llega junto con los parches principales de macOS).

Los usuarios de iOS 13 en iPhones y iPads obtienen una actualización a 13.6 que cubre muchos de los errores enumerados anteriormente, dado que macOS e iOS comparten una gran cantidad de código.

La actualización de iOS 12.4.8, sin embargo, que es la única versión de iOS anterior a 13 que aún se admite, “no tiene entradas CVE publicadas”, según Apple.

¿Qué hacer?

¡Instala las actualizaciones lo antes posible!

No hay nada aquí que parezca tan preocupante como el error “SIGRed” recién parcheado de Microsoft en su servidor DNS, pero ese error atrajo atención especial tanto por su nombre pegadizo como por su peligro verdadero

Siempre vale la pena reparar los problemas de ejecución remota de código a nivel de kernel como los enumerados anteriormente, ya que son los que busca cualquier cibercriminal.

Un delincuente que descubra una vulnerabilidad para cualquiera de los agujeros del kernel mencionados seguramente encontraría (e inmediatamente) un buen número de compradores dispuestos en la web oscura.

En una Mac, ve al menú Apple> Preferencias del sistema> Actualización de software.

En iPhones y iPads, es Configuración> General> Actualización de software.

Después de la actualización, dependiendo de cuántos dispositivos Apple tengas, deberías estar en: iOS 12.4.8, iOS 13.6, macOS 10.15.6 (si utilizas en Catalina), macOS 10.13.6 con Actualización de seguridad 2020-004 (High Sierra), macOS 10.14.6 con Actualización de seguridad 2020-004 (Mojave) y Safari 13.1.2.

1 comentario

Dejar un comentario

Your email address will not be published. Required fields are marked *