Site icon Sophos News

Apple lanza una actualización de día cero para los iPhones y iPads más antiguos

apple

Bueno, ¡no esperábamos esto!

Nuestro querido iPhone 6+, que ya tiene casi ocho años pero que estaba en perfectas condiciones hasta un reciente UDI (incidente de desmontaje involuntario, también conocido como caída de la bici, que destrozó la pantalla pero dejó el dispositivo funcionando bien por lo demás), no ha recibido ninguna actualización de seguridad de Apple desde hace casi un año.

La última actualización que recibimos fue el 23/09/2021, cuando actualizamos a iOS 12.5.5.

Cada actualización posterior de iOS y iPadOS 15 ha reforzado, comprensiblemente, nuestra suposición de que Apple había abandonado la compatibilidad con iOS 12 para siempre, por lo que relegamos el viejo iPhone a un segundo plano, únicamente como dispositivo de emergencia para mapas o llamadas telefónicas mientras estábamos de viaje.

(Pensamos que es poco probable que otra caída destroce más la pantalla, así que nos pareció un uso útil).

Pero acabamos de comprobar que Apple ha decidido volver a actualizar iOS 12.

Esta nueva actualización se aplica a los siguientes modelos: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod Touchde sexta generación. (Antes de que salieran iOS 13.1 y iPadOS 13.1, los iPhone y los iPad utilizaban el mismo sistema operativo, denominado iOS para ambos dispositivos).

No hemos recibido ningún  correo electrónico de aviso de seguridad de Apple, pero un lector de Naked Security que sabe que todavía tenemos ese viejo iPhone 6+ nos hizo saber sobre el Boletín de Seguridad de Apple HT213428. (¡Gracias!)

En pocas palabras, Apple ha publicado un parche para CVE-2022-32893, que es uno de los dos misteriosos errores de día cero que recibieron parches de emergencia en la mayoría de las otras plataformas de Apple a principios de agosto de 2022.

Implantación de malware

Como verás en el artículo anterior, había un fallo de ejecución remota de código de WebKit, CVE-2022-32893, mediante el cual un jailbreak, un vendedor de spyware o algún ciberdelincuente retorcido podía atraerte a un sitio web con trampa e implantar malware en tu dispositivo, incluso si todo lo que hacías era echar un vistazo a una página o documento de aspecto inocente.

Luego hubo un segundo fallo en el kernel, CVE-2022-32894, por el que dicho malware podía extender sus tentáculos más allá de la aplicación que acababa de comprometer (como un navegador o un visor de documentos), y obtener el control de las entrañas del propio sistema operativo, permitiendo así que el malware espiara, modificara o incluso instalara otras aplicaciones, saltándose los tan cacareados y notoriamente estrictos controles de seguridad de Apple.

Así pues, la buena noticia es que iOS 12 no es vulnerable al día cero a nivel de kernel CVE-2022-32894, lo que evita casi con toda seguridad el riesgo de comprometer totalmente el propio sistema operativo.

Pero aquí está la mala noticia: iOS 12 es vulnerable al bug de WebKit CVE-2022-32893, por lo que las aplicaciones individuales en tu teléfono definitivamente están en riesgo de compromiso.

Suponemos que Apple debe haber encontrado al menos algunos usuarios de alto perfil (o de alto riesgo, o ambos) de teléfonos antiguos que fueron comprometidos de esta manera, y decidió impulsar la protección para todos como una precaución especial.

El peligro de WebKit

Hay que recordar que los fallos de WebKit existen, a grandes rasgos, en la capa de software por debajo de Safari, de modo que el propio navegador Safari de Apple no es la única aplicación que corre el riesgo de sufrir esta vulnerabilidad.

Todos los navegadores en iOS, incluso Firefox, Edge, Chrome y demás, utilizan WebKit (es un requisito de Apple si quieres que tu aplicación llegue a la App Store).

Y cualquier aplicación que muestre contenido web con fines distintos a la navegación general, como en las páginas de ayuda, la pantalla Acerca de, o incluso en un “mini-navegador” integrado, también está en riesgo porque estará utilizando WebKit de forma encubierta.

En otras palabras, simplemente “evitar Safari” y seguir con un navegador de terceros no es una solución adecuada en este caso.

¿Qué hacer?

Ahora sabemos que la ausencia de una actualización para iOS 12 cuando salieron los últimos parches de emergencia para los iPhone más recientes no se debió al hecho de que iOS ya era seguro.

Simplemente se debía a que la actualización no estaba disponible todavía.

Así que, dado que ahora sabemos que iOS 12 está en riesgo, y que los exploits contra CVE-2022-32893 están siendo utilizados en la vida real, y que hay un parche disponible ¡entonces es una cuestión urgente de parchear lo antes posible!

Ve a Ajustes > General > Actualización de Software, y comprueba que tienes iOS 12.5.6.

Si aún no has recibido la actualización de forma automática, toca en Descargar e instalar para comenzar el proceso de inmediato.

Exit mobile version