¿Recuerdas aquella actualización comprimida pero rápida que Apple lanzó hace tres semanas, el 1 de mayo de 2023?
Esa actualización fue la primera del novedoso proceso de Respuesta Rápida de Seguridad de Apple, mediante el cual la empresa puede distribuir parches críticos para componentes clave del sistema sin pasar por una actualización completa del sistema operativo que te lleve a un nuevo número de versión.
Como reflexionamos en el podcast de Naked Security de esa semana:
Apple acaba de introducir las “Respuestas rápidas de seguridad”. La gente está informando de que tardan segundos en descargarse y requieren un reinicio superrápido. [Pero] en cuanto a la falta de información [sobre la actualización], se han callado. No han dado ninguna información. Pero ha sido rápida y agradable.
Listen, laugh, and learn.. zombie malware, zippy patches, data stealers, and useful password tips that aren’t just the same old ones you’ve heard for years 🎧📖https://t.co/Z9rNjGR6Vj pic.twitter.com/4ZY1fsXlXs
— Naked Security (@NakedSecurity) May 7, 2023
Buena para algunos
Por desgracia, estas nuevas Respuestas Rápidas de Seguridad solo estaban disponibles para la última versión de macOS (actualmente Ventura) y la última de iOS/iPadOS (actualmente en la versión 16), lo que dejaba a oscuras a los usuarios de Macs e productos más antiguos, así como a los propietarios de Apple Watches y Apple TVs.
La descripción de Apple de los nuevos parches rápidos implicaba que normalmente se ocuparían de fallos de día cero que afectaban a software básico como el navegador Safari y WebKit, que es el motor de renderizado web que todos los navegadores están obligados a utilizar en iPhones y iPads.
Técnicamente, podrías crear una aplicación de navegador para iPhone o iPad que utilizara el motor Chromium, como hacen Chrome y Edge, o el motor Gecko, como hacen los navegadores de Mozilla, pero Apple no te dejaría entrar en la App Store si lo hicieras.
Y como la App Store es la única fuente de aplicaciones para los dispositivos móviles de Apple, eso es todo: o WebKit, o nada.
La razón por la que los fallos críticos de WebKit tienden a ser más peligrosos que los fallos de muchas otras aplicaciones es que los navegadores dedican intencionadamente su tiempo a obtener contenidos de cualquier lugar de Internet.
A continuación, los navegadores procesan estos archivos no fiables, suministrados remotamente por los servidores web de otras personas, los convierten en contenido visualizable, en el que se puede hacer clic, y los muestran como páginas web con las que puedes interactuar.
Esperas que tu navegador te advierta activamente, y te pida permiso explícitamente, antes de realizar acciones consideradas potencialmente peligrosas, como activar tu webcam, leer archivos ya almacenados en tu dispositivo o instalar nuevo software.
Pero también esperas que el contenido que no se considera directamente peligroso, como imágenes o vídeos que se van a mostrar, archivos de audio que se van a reproducir, etc., se procese y se te presente automáticamente.
En pocas palabras, el mero hecho de visitar una página web no debería poner en riesgo de que implanten malware en tu dispositivo, roben tus datos, husmeen tus contraseñas, sometan tu vida digital a programas espía o cualquier fechoría de ese tipo.
A menos que haya un error
A menos, claro está, que haya un fallo en WebKit (o tal vez varios fallos que puedan combinarse estratégicamente), de modo que con solo preparar un archivo de imagen, o un vídeo, o una ventana emergente de JavaScript con una trampa deliberada, se pueda engañar a tu navegador para que haga algo que no debería.
Si los ciberdelincuentes, o los vendedores de software espía, o los jailbreakers, o los servicios de seguridad de un gobierno al que no le caes bien, o de hecho cualquiera descubren un fallo explotable de este tipo, podrían poner en peligro la ciberseguridad de todo tu dispositivo simplemente atrayéndote a un sitio web de apariencia inocente que debería ser perfectamente seguro de visitar.
Pues bien, Apple acaba de seguir sus últimos parches de Respuesta Rápida de Seguridad con actualizaciones completas para todos sus productos compatibles, y entre los boletines de seguridad de esos parches, hemos descubierto por fin para qué servían esas Respuestas Rápidas.
Dos días cero:
- CVE-2023-28204: WebKit. Se ha solucionado una lectura fuera de los límites con una validación de entrada mejorada. El procesamiento de contenido web puede revelar información sensible. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente.
- CVE-2023-32373: WebKit. Se ha solucionado un problema de uso después de la liberación con una gestión mejorada de la memoria. El procesamiento de contenido web malintencionadamente diseñado puede dar lugar a la ejecución de código arbitrario. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente.
En general, cuando dos días cero de este tipo aparecen al mismo tiempo en WebKit, es una buena apuesta que han sido combinados por delincuentes para crear un ataque de toma de control en dos pasos.
Los fallos que corrompen la memoria sobrescribiendo datos que no deberían tocarse (p. ej., CVE-2023-32373) siempre son malos, pero los sistemas operativos modernos incluyen muchas protecciones en tiempo de ejecución que pretenden impedir que se aprovechen estos fallos para tomar el control del programa infectado.
Por ejemplo, si el sistema operativo elige aleatoriamente dónde van a parar los programas y los datos en la memoria, los ciberdelincuentes a menudo no pueden hacer mucho más que bloquear el programa vulnerable, porque no pueden predecir cómo está distribuido en la memoria el código que están atacando.
Pero con información precisa sobre qué está dónde, un burdo exploit puede convertirse a veces en un exploit de “toma de control”: lo que se conoce con el nombre autodescriptivo de agujero de ejecución remota de código.
Por supuesto, los fallos que permiten a los atacantes leer en ubicaciones de memoria que no les corresponden (por ejemplo, CVE-2023-28204) no solo pueden conducir directamente a la fuga de datos y al robo de datos, sino que también pueden conducir indirectamente a ataques de “toma de control”, al revelar secretos sobre la disposición de la memoria dentro de un programa y facilitar la toma del control.
Curiosamente, hay un tercer día cero parcheado en las últimas actualizaciones, pero éste aparentemente no se solucionó en la Respuesta Rápida de Seguridad.
- CVE-2023-32409: WebKit. El problema se abordó con comprobaciones de límites mejoradas. Un atacante remoto puede ser capaz de salir de la sandbox de Contenido Web. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente.
Como puedes imaginar, la combinación de estos tres días cero equivaldría al gordo de la lotería para un atacante: el primer fallo revela los secretos necesarios para explotar, el segundo fallo de forma fiable, y el segundo fallo permite implantar código para explotar el tercero. En ese momento, el atacante no solo se ha apoderado del “jardín amurallado” de tu página web actual, sino que se ha hecho con el control de todo tu navegador, o algo peor.
¿Qué hacer?
Asegúrate de que estás parcheado. (Ve a Ajustes > General > Actualización de Software).
Incluso los dispositivos que ya recibieron una Respuesta Rápida de Seguridad a principios de marzo de 2023 tienen todavía un día cero por parchear.
Y todas las plataformas han recibido muchas otras correcciones de seguridad para fallos que podrían aprovecharse para ataques tan variados como: saltarse las preferencias de privacidad, acceder a datos privados desde la pantalla de bloqueo, leer información de ubicación sin permiso, espiar el tráfico de red de otras aplicaciones y más.
Tras la actualización, deberías ver los siguientes números de versión:
- watchOS: ahora en la versión 5
- tvOS: ahora en la versión 5
- iOS 15 y iPadOS 15: ahora en la versión 7.6
- iOS 16 y iPadOS 16: ahora en la versión 5
- macOS Big Sur: ahora en la versión 7.7
- macOS Monterey: ahora en 6.6
- macOS Ventura: ahora en la versión 4
Nota importante: si tienes macOS Big Sur o macOS Monterey, los parches de WebKit no se incluyen en la actualización de la versión del sistema operativo, sino que se suministran en un paquete de actualización independiente llamado Safari 16.5.
Dejar un comentario