Apple pública otra actualización de seguridad no programada

ActualidadActualizacionApple
mises a jour de securite apple

Ha pasado solo una semana desde las últimas actualizaciones de productos de Apple, pero ya es hora de actualizar de nuevo.

Como probablemente sepas, Apple, algo inusual entre los principales desarrolladores de aplicaciones y sistemas operativos, no tiene ningún tipo de programa predeterminado para sus parches de seguridad.

A diferencia de proveedores como Microsoft (mensual), Google Android (mensual) y Mozilla (cada cuarto martes), las actualizaciones de seguridad surgen de Cupertino cada vez que Apple cree que es el momento adecuado.

Y a diferencia de Linux, donde las actualizaciones son abundantes y rápidas, además se puede rastrear los problemas en los que están trabajando en cualquier momento, las actualizaciones de Apple llegan no solo como y cuando quieren, sino también bajo un manto oficial de no divulgación:

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias.

Silencio total

Como dijimos antes, Apple rara vez se desvía de ese silencio imperturbable, que puede ser molesto cuando hay un problema de seguridad en el código de Apple que es conocido y ya se está discutiendo ampliamente, pero la compañía no dice ni si están trabajando en buscar una solución.

Después de todo, si has informado de lo que crees que es un error, pero no te dicen nada más sobre el problema, es difícil saber lo que está pasando.

¿Te equivocaste y no fue un error después de todo?

¿Estás siendo ignorado porque nadie se dio cuenta de tu informe?

¿O el error es tan grave y complejo que simplemente no se puede o no se solucionará y nadie te lo dirá?

Esta vez, el motivo de los últimos parches, que se aplican a macOS, iOS, iPadOS y watchOS, es claro, porque se han eliminado cuatro errores críticos con numeración  CVE, que se describen a continuación:

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código. Apple tiene conocimiento de que este problema se ha explotado activamente.

Acortado a la jerga contemporánea significa “exploit RCE de día cero basado en la web”.

Ataques drive-by

Drive-by significa que solo con visitar un sitio web y verlo es suficiente para desencadenar el error. Los delincuentes no necesitan atraerte y luego convencerte de que descargues y ejecutes un archivo, o que instales un complemento de navegador, o que introduzcas una gran cantidad de datos personales en un formulario online.

Basado en la web significa que el ataque puede ocurrir directamente dentro de tu navegador, a pesar de todo el espacio aislado y otras protecciones que se supone mantienen la navegación segura.

Día cero significa que hubo cero días en los que podrías haber parcheado antes de un posible ataque, porque los ciberdelincuentes encontraron y comenzaron a explotar el error primero, antes de que hubiera un parche disponible.

Y RCE significa exactamente lo que dice, a saber, ejecución remota de código, donde los ciberatacantes pueden ejecutar el código suministrado de forma remota de su elección, decidido en el momento en que visitas su sitio web malicioso.

En términos generales, RCE significa no solo que los delincuentes pueden inyectar e instalar malware en tu ordenador sin avisos o ventanas emergentes de alerta, sino que también pueden variar su ataque como y cuando lo deseen.

Cuatro vulnerabilidades solucionadas

Las vulnerabilidades solucionadas son:

  • CVE-2021-30665: Solucionado un problema de corrupción de memoria mejorando la administración del estado.
  • CVE-2021-30663: Solucionado un desbordamiento de enteros con una validación de entrada mejorada.
  • CVE-2021-30661: Solucionado un problema de uso posterior a la versión gratuita con una administración de memoria mejorada.
  • CVE-2021-30666: Solucionado un problema de desbordamiento del búfer mejorando el manejo de la memoria.

Curiosamente, el error denominado CVE-2021-30661 ya fue parcheado el 26/4/2021 (hace una semana) en iOS 14.5 y macOS 11.3, pero no en iOS 12, que no recibió una actualización en ese momento.

A partir de esto, es posible que haya inferido que el agujero de seguridad se introdujo en la base de código de Apple después de que salió iOS 12 y, por lo tanto, no se aplicaba en absoluto a la versión anterior de iOS 12.

Sin embargo, resulta que no ha sido así, dado que los errores CVE-2021-30661 y CVE-2021-30666 corregidos esta vez se enumeran como aplicables solo a iOS 12.

Por lo que sabemos, aún no se ha parcheado ningún error que coincida con CVE-2021-30666 en iOS 14 o macOS 11, lo que una vez más nos deja preguntándonos, dada la notoria actitud de “no comentar” de Apple hacia los errores en los que está trabajando, si este error existe en las versiones más recientes del sistema operativo de Apple o no.

¿Es este un error antiguo de iOS 12 que se trasladó al código base actual de Apple pero aún no se ha parcheado allí?

¿O es un error exclusivo del código iOS 12 anterior que no aparece en las versiones más recientes del sistema operativo y, por lo tanto, ahora se puede considerar que se ha eliminado en todas partes?

Recordatorio. Ya no existe iOS 13. Los dispositivos más antiguos están bloqueados con iOS 12, que todavía recibe parches. Pero cualquier dispositivo de Apple que fuera compatible con iOS 13 cuando salió, ahora debe actualizarse a iOS 14.5.1 para estar al día con las correcciones de seguridad. Eso se debe a que iOS 14 reemplazó a iOS 13, que ya no es compatible en absoluto y, por lo tanto, está peligrosamente retrasado en las actualizaciones de seguridad.

¿Qué hacer?

No lo pienses más, instala las actualizaciones ya.

Incluso si los exploits que están siendo utilizados y afectan a estas vulnerabilidades son conocidos solo por ciberdelincuentes seleccionados, que los mantienen cuidadosamente bajo la manga y los usan solo en ataques altamente dirigidos, esa no es razón para demorarse con la actualización.

Después de todo, los agujeros de seguridad que muchos delincuentes ya conocen bien podrían ser redescubiertos, o ser comprados o robados por otros delincuentes.

No olvides que el exploit ETERNALBLUE, notoriamente abusado por el virus WannaCry, aparentemente fue robado de la Agencia de Seguridad Nacional de los EEUU, a pesar de que la NSA tenía todas las razones para guardárselo para sí.

En otras palabras, ¿por qué quedarse un paso por detrás de los atacantes conocidos cuando puedes estar al día?

En iDevices, ve a Configuración> General> Actualización de software.

En un Mac, ve al menú Apple> Preferencias del sistema> Actualización de software.

Si ya estás actualizado, el actualizador te avisará; si no, te ofrecerá la opción de ponerte al día.

Las últimas versiones a tener en cuenta son: iOS 12.5.3, iOS / iPadOS 14.5.1, watchOS 7.4.1 y macOS 11.3.1.

Si todavía usas macOS 10.14 o 10.15 (Mojave o Catalina por su nombre), se te ofrecerá una actualización llamada simplemente Safari 14.1, en lugar de una actualización indicada por el número de sistema operativo o nombre.

Leave a Reply

Your email address will not be published.