apple
Búsqueda de Ciberamenazas

Ya están los parches de Apple: ¡por fin los iPhones antiguos tienen una solución de día cero!

El año pasado, el último día de agosto de 2022, escribimos sobre una actualización inesperada pero bastante importante para los iPhone con iOS 12.

Como comentamos en su momento, creíamos que iOS 12 ya estaba fuera del radar de Apple, y que nunca volvería a actualizarse, dado que la anterior actualización había sido un año antes, en septiembre de 2021.

Por eso nos sorprendió cuando iOS 12.5.6 apareció inesperadamente, corrigiendo un misterioso fallo de día cero que había sido parcheado varias semanas antes en otros productos de Apple.

Dado que el fallo de iOS 12 corregido entonces estaba en WebKit, el motor de renderizado web de Apple que se utiliza en todos los navegadores web de los iDevices, no sólo en Safari; dado que ya se sabía que los atacantes del mundo real estaban explotando el agujero; dado que los fallos del navegador casi siempre significan que el mero hecho de mirar una página web aparentemente inocente y sin importancia podría ser suficiente para implantar software espía en tu teléfono en segundo plano; decidimos que iOS 12.5.6 era una actualización importante que debías tener.

Es importante que compruebes las actualizaciones que pensabas que nunca verías, especialmente si tienes un iPhone “de reserva” antiguo que ya no usas a diario, o que has pasado a un miembro de tu familia menos experto en tecnología.

Pues aquí tienes un déjà vu de nuevo: acaban de publicarse las últimas actualizaciones de Apple y, por lo que sabemos, solo hay una corrección de día cero entre ellas, y una vez más es para iOS 12.

Este parche también corrige un importante agujero en WebKit que parece que ya está siendo aprovechado por los atacantes para implantar malware.

Resulta que este es el único fallo corregido en la actualización de iOS 12.5.7, y tiene el número de fallo oficial CVE-2022-42856.

Si te suena el número de error CVE-2022-42856, probablemente sea porque Apple lo solucionó en dos rondas de actualizaciones en todos sus  productos en diciembre de 2022.

En primer lugar, hubo una misteriosa ronda de actualizaciones que resultó no ser tanto una ronda como un esfuerzo en solitario, parcheando iOS 16.1 hasta iOS 16.2.

No se actualizó ningún otro dispositivo de Apple, ni siquiera iOS 15, la versión anterior de iOS a la que algunos usuarios se aferraron por elección propia, y otros porque sus teléfonos más antiguos no podían actualizarse a iOS 16.

En segundo lugar, unas semanas más tarde, llegaron las actualizaciones que, de alguna manera, parecía que se habían retrasado desde la primera “ronda”.

En este punto, Apple admitió de forma bastante curiosa (¿o quizás queramos decir confusa?) que la actualización ya publicada para iOS 16 era, de hecho, un parche contra CVE-2022-42856, que había sido un fallo de día cero todo el tiempo, pero un día cero que solo se aplicaba a iOS 15.1 y versiones anteriores.

En otras palabras, la disponibilidad anticipada de la actualización de iOS 16.1.2, aunque no causó ningún daño, resultó ser un “parche” para la única versión de iOS que no lo necesitaba.

Habría sido mucho más útil que esa actualización temprana de iOS 16 hubiera aparecido por primera vez como un parche de iOS 15.

Ahora iOS 12 se une al club

Como ya sabes, porque hemos mencionado el número de fallo más arriba, ahora hay un parche de día cero tardío, para ese mismo fallo, que se aplica a la versión de iOS más antigua de Apple, es decir, iOS 12.

Consigue esta actualización ahora, porque los cibercriminales saben de su existencia desde hace al menos dos meses.

(Suponemos que los atacantes desarrollaron un gran interés en afinar su exploit CVE-2022-42856 para iOS 12 tan pronto como iOS 15, más utilizado, recibió sus actualizaciones a finales de 2022).

Ve a Ajustes > General > Actualización de software para comprobar si ya tienes el parche, o para forzar una actualización si no lo tienes:

iOS 12

Más actualizaciones

A pesar de que el parche crítico de día cero de iOS 12 corrige uno y solo uno de los errores enumerados, los demás productos de Apple reciben una amplia gama de parches, aunque no hemos encontrado ninguno que figure como “ya explotado activamente”.

En otras palabras, ninguno de los muchos fallos corregidos en otros productos distintos de iOS 12 cuenta como día cero, y por lo tanto, al parchear te estás adelantando a los delincuentes, no simplemente poniéndote a su altura.

Los números de versión actualizados que debes buscar después de instalar los parches son los siguientes, con sus páginas de boletines de seguridad para facilitar la consulta, y los productos de hardware a los que se aplican:

  • Boletín HT213597: iOS 12.5.7. Para iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª generación).
  • Boletín HT213603: macOS Big Sur 11.7.3. Normalmente se utiliza en Mac antiguos que no son compatibles con las últimas versiones, como el MacBook original de 12″ de 2015.
  • Boletín HT213604: macOS Monterey 12.6.3.
  • Boletín HT213605: macOS Ventura 13.2.
  • Boletín HT213598: iOS 15.7.3 y iPadOS 15.7.3. iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1ª generación), iPad Air 2, iPad mini (4ª generación) e iPod touch (7ª generación).
  • Boletín HT213606: iOS 16.3 y iPadOS 16.3. iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3ª generación y posteriores, iPad de 5ª generación y posteriores, y iPad mini de 5ª generación y posteriores.
  • Boletín HT213599: watchOS 9.3: Apple Watch Series 4 y posteriores.

Como suele ocurrir con las actualizaciones de Mac, hay una nueva versión del motor de renderizado WebKit y del navegador Safari, denominada Safari 16.3, presumiblemente para coincidir con el mayor número de versión de producto de la lista anterior, es decir, iOS 16.3 y iPadOS 16.3

Si tienes la última versión de macOS, es decir, macOS Ventura 13, esta nueva versión de Safari llega junto con la actualización de macOS, así que eso es todo lo que necesitas descargar e instalar.

Pero si todavía estás en macOS 11 Big Sur o macOS 12 Monterey, los parches de Safari vienen como una descarga separada, por lo que habrá dos actualizaciones esperándote, no una. (¡Esa segunda actualización no es una que hayas olvidado de la última vez!)

¿Qué hay que hacer?

En macOS, utiliza Menú Apple > Acerca de este Mac > Actualización de software…

Como se ha mencionado anteriormente, en iPhones y iPads, utiliza: Ajustes > General > Actualización de software.

No te demores, especialmente si todavía tienes un dispositivo con iOS 12: ¡hazlo hoy mismo!

Dejar un comentario

Your email address will not be published. Required fields are marked *