Búsqueda de Ciberamenazas

Apple corrige agujeros de día cero, incluso en el nuevo iOS 16

Hemos estado esperando iOS 16, dado el reciente Evento de Apple en el que el iPhone 14 y otros productos de hardware actualizados fueron lanzados al público.

Esta mañana, hemos ido a Ajustes > General > Actualización de Software, por si acaso pero no apareció nada.

Pero poco antes de las 8 de la tarde, hora del Reino Unido [2022-09-12T18:31Z], una serie de notificaciones de actualización llegaron a nuestra bandeja de entrada, anunciando una curiosa mezcla de productos Apple nuevos y actualizados.

Incluso antes de leer los boletines, probamos de nuevo Ajustes > General > Actualización de Software, y esta vez se nos ofreció una actualización a iOS 15.7, con una actualización alternativa que nos llevaría directamente a iOS 16:

Actualización iOS 16

¡Una actualización y una mejora disponibles al mismo tiempo!

Nos decantamos por la actualización a iOS 16, la descarga era de algo menos de 3GB, pero una vez descargada el proceso fue más rápido de lo que esperábamos, y todo hasta ahora parece funcionar bien.

Asegúrate de actualizar aunque no subas de versión

Para que quede claro, si no quieres pasar a iOS 16 todavía, tienes que actualizarte, porque iOS 15.7 y iPadOS 15.7 incluyen numerosos parches de seguridad, incluyendo una solución para un fallo denominado CVE-2022-32917.

El fallo, cuyo descubrimiento se atribuye simplemente a “un investigador anónimo”, se describe así:

[Bug parcheado en:] Kernel

Disponible para: iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5ª generación y posteriores, iPad mini 4 y posteriores y iPod touch (7ª generación)

Impacto: una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

Descripción: el problema se ha solucionado con la mejora de las comprobaciones de límites.

Como señalamos cuando se publicaron los últimos parches de emergencia de día cero de Apple, un error de ejecución de código del kernel significa que incluso las aplicaciones de aspecto inocente (tal vez incluyendo aplicaciones que llegaron a la App Store porque no levantaron señales de alarma obvias cuando se examinaron) podrían liberarse del bloqueo de seguridad de Apple aplicación por aplicación y potencialmente apoderarse de todo el dispositivo, incluyendo el derecho a realizar operaciones del sistema como el uso de la cámara o las cámaras, la activación del micrófono, la adquisición de datos de localización, la realización de capturas de pantalla, el espionaje del tráfico de red antes de que se cifre (o después de que se haya descifrado), el acceso a archivos pertenecientes a otras aplicaciones, y mucho más.

Si, efectivamente, este “problema” (o agujero de seguridad, como prefieras llamarlo) ha sido explotado activamente, es razonable deducir que hay aplicaciones por ahí que los usuarios desprevenidos ya han instalado, de lo que pensaban que era una fuente de confianza, a pesar  que esas aplicaciones contenían código para activar y abusar de esta vulnerabilidad.

Curiosamente, macOS 11 (Big Sur) recibe su propia actualización a macOS 11.7, que parchea un segundo agujero de día cero denominado CVE-2022-32894, descrito exactamente con las mismas palabras que el boletín de día cero de iOS citado anteriormente.

Sin embargo, CVE-2022-32894 aparece como un fallo de Big Sur únicamente, sin que las versiones más recientes del sistema operativo macOS 12 (Monterey), iOS 15, iPadOS 15 y iOS 16 se vean aparentemente afectadas.

Recordemos que un agujero de seguridad, que solo se solucionó después de que los ciberdelincuentes ya habían descubierto cómo explotarlo, se conoce como un día cero porque hubo cero días durante los cuales incluso el usuario o administrador de sistemas más entusiasta podría haberlo parcheado de forma proactiva.

La historia completa

Las actualizaciones anunciadas en esta ronda de boletines son las siguientes.

Las hemos enumerado a continuación en el orden en que llegaron por correo electrónico (orden numérico inverso) para que iOS 16 aparezca al final:

  • APPLE-SA-2022-09-12-5: Safari 16. Esta actualización se aplica a macOS Big Sur (versión 11) y Monterey (versión 12). No aparece ninguna actualización de Safari para macOS 10 (Catalina). Dos de los errores corregidos podrían conducir a la ejecución remota de código, lo que significa que un sitio web con trampa podría implantar malware en tu ordenador (que posteriormente podría abusar de CVE-2022-32917 para tomar el control a nivel del kernel), aunque ninguno de estos errores están listados como de día cero. (Véase HT213442).
  • APPLE-SA-2022-09-12-4: macOS Monterey 12.6. Esta actualización puede considerarse urgente, dado que incluye una corrección de CVE-2022-32917. (Véase HT213444).
  • APPLE-SA-2022-09-12-3: macOS Big Sur 11.7. Un tramo de parches similar a los mencionados anteriormente para macOS Monterey, que incluye el día cero CVE-2022-32917. Esta actualización de Big Sur también parchea CVE-2022-32894, el segundo día cero del kernel descrito anteriormente. (Véase HT213443).
  • APPLE-SA-2022-09-12-2: iOS 15.7 y iPadOS 15.7. Como se indicó al principio del artículo, estas actualizaciones parchean CVE-2022-32917. (Véase HT213445).
  • APPLE-SA-2022-09-12-1: iOS 16 ¡La grande! Además de un montón de nuevas características, incluye los parches de Safari entregados por separado para macOS (véase la parte superior de esta lista), y una solución para CVE-2022-32917. Curiosamente, el boletín de actualización de iOS 16 avisa de que “pronto se añadirán entradas adicionales de CVE”, pero no indica que CVE-2022-23917 sea un día cero. No sabemos si esto se debe a que iOS 16 aún no se considera oficialmente “in the wild” o a que el exploit conocido aún no funciona en una Beta de iOS 16 sin parchear. Pero parece que el fallo se ha trasladado de iOS 15 a la base de código de iOS 16. (Ver HT213446).

¿Qué hacer?

Como siempre, parchear pronto, parchear a menudo.

Una actualización completa de iOS 15 a iOS 16.0, tal y como se informa después de la instalación, parchará los fallos conocidos de iOS 15. (Todavía no hemos visto un anuncio para iPadOS 16.)

Si aún no estás preparado para la actualización, asegúrate de actualizar a iOS 15.7, debido al agujero del kernel de día cero.

En el caso de los iPads, para los que aún no se ha mencionado iOS 16, hazte con iPadOS 15.7 ahora mismo; no esperes a que salga iPadOS 16, ya que te estarías exponiendo innecesariamente a un fallo del kernel conocido y explotable.

En los Mac, Monterey y Big Sur reciben una doble actualización, una para parchear Safari, que se convierte en Safari 16, y otra para el propio sistema operativo, que te llevará a macOS 11.7 (Big Sur) o macOS 12.6 (Monterey).

No hay parche para iOS 12 esta vez, y no se menciona a macOS 10 (Catalina). Si Catalina ya no tiene soporte, o simplemente es demasiado viejo para incluir alguno de estos errores, no podemos decirlo.

Estate atento a este blog para cualquier actualización CVE.