Búsqueda de Ciberamenazas

¡Urgente! Apple corrige un agujero crítico de día cero en iPhone, iPad y Mac

Acaba de salir la segunda Respuesta Rápida de Seguridad de Apple.

Ahí es donde las versiones más recientes de macOS, iOS y iPadOS reciben parches de emergencia que:

  • Apple no tarda tanto en crearlos, probarlos y publicarlos como lo haría una actualización de la versión completa.
  • No tardan tanto en descargarse cuando decides bajarlos.
  • No tarden tanto en instalarse y activarse cuando los apliques.
  • No realizan cambios irreversibles que no puedan revertirse si algo va mal.

La velocidad es esencial

El último punto anterior es sorprendentemente importante, dado que Apple no te permitirá en absoluto desinstalar actualizaciones completas del sistema en tus iPhone o iPad, aunque descubras que causan verdaderos problemas y desees no haberlas instalado.

Esto se debe a que Apple no quiere que los usuarios puedan hacer downgrade a propósito para reintroducir viejos errores que ahora saben que pueden utilizarse para hacer jailbreak a los dispositivos o instalar un sistema operativo alternativo, incluso en dispositivos que la propia Apple ya no admite.

Incluso si borras por completo y reinstalas tu iDevice desde cero mediante un cable USB, utilizando la utilidad DFU (actualización directa del firmware) incorporada, los servidores de Apple saben qué versión estabas utilizando antes de la reinstalación, y no te permitirán activar una imagen de firmware antiguo en un dispositivo que ya ha sido actualizado más allá de ese punto.

En otras palabras, el coste de la decisión comercial de Apple de mantenerte en un camino unidireccional de actualizaciones del iPhone y el iPad es que la empresa no puede permitirse fácilmente lanzar actualizaciones de emergencia con la rapidez que le gustaría (o con la rapidez que tú desearías).

Esto se debe a que la única forma de corregir cualquier problema crítico que pueda causar una actualización es producir otra actualización completa que la sustituya, porque no existe un proceso de solución rápida para una actualización completa que se haya lanzado demasiado deprisa.

El sistema de Respuesta Rápida de Seguridad pretende eludir ese problema, al menos para un subconjunto del software de tu dispositivo, en particular para Safari y otros componentes de navegación web, que suelen ser aprovechados por los ciberdelincuentes para lanzar ataques como implantar silenciosamente programas espía o inyectar programas maliciosos relacionados con la vigilancia.

Como ya se ha mencionado, los parches de Respuesta Rápida de Seguridad están pensados para que sean rápidos de instalar y fáciles de eliminar después si tienes problemas.

En palabras de la propia Apple, las Respuestas Rápidas de Seguridad están diseñadas para que:

Ofrezcan importantes mejoras de seguridad entre actualizaciones de software, por ejemplo, mejoras en el navegador web Safari, la pila del marco WebKit u otras bibliotecas críticas del sistema. También pueden utilizarse para mitigar más rápidamente algunos problemas de seguridad, como los que puedan haber sido explotados o de cuya existencia se haya informado.

La importancia de los parches para navegadores

La navegación en sí misma está destinada a ser comparativamente de bajo riesgo, dado que se supone que el propio navegador está programado para protegerte de daños inmediatos.

De hecho, se supone que el contenido basado en el navegador no puede causar ningún problema de ciberseguridad basado en software si lo único que haces es mirar un sitio web.

Claro que podrían engañarte con contenidos falsos, pero eso no afectaría directamente a la seguridad del código que se ejecuta en el propio dispositivo.

O podrían engatusarte para que apruebes alguna acción arriesgada, como instalar una aplicación fraudulenta o rellenar un formulario de inicio de sesión falso, pero normalmente tienes al menos una oportunidad de luchar para detectar que te están estafando.

En pocas palabras, mientras estés “solo de visita”, como se dice en el tablero del Monopoly cuando aterrizas en la casilla de la Cárcel de forma natural, en lugar de ser enviado allí desde otro lugar, deberías correr poco o ningún riesgo por la actividad de navegación.

Por supuesto, la capacidad de tu navegador para protegerte de ataques totalmente automatizados, y para garantizar que el contenido de una página web por sí mismo nunca sea suficiente para infectarte con malware o robar datos de tu dispositivo depende de que el navegador no tenga fallos de seguridad a través de los cuales un contenido trampa pueda eludir los escudos de seguridad del propio navegador y someterte a lo que se conoce como un ataque drive-by install o look-and-get-pwned.

¿Qué hacer?

Estos parches deben considerarse críticos.

Suponemos que están asociados a un ataque en vivo de spyware o malware que se está produciendo en este momento, dado el fallo que se corrige:

Impacto: el procesado de contenido web puede llevar a la ejecución de código arbitrario. Apple tiene conocimiento de un informe según el cual este problema puede haber sido explotado activamente.

Descripción: se ha solucionado el con comprobaciones mejoradas.

CVE-2023-37450: un investigador anónimo

En otras palabras, “explotado activamente” significa “esto es un día cero”, o más claramente, “los delincuentes encontraron esto primero”, lo que a su vez significa: no te demores, parchea hoy mismo.

Existen Respuestas Rápidas de Seguridad para las últimas versiones de macOS Ventura 13.4.1, iOS 16.5.1 y iPadOS 16.5.1.

Esas versiones se reportarán como 13.4.1 (a) y 16.5.1 (a) respectivamente una vez instalado el parche rápido. Esa (a) final desaparecerá si más tarde desinstalas el parche.

Para las versiones anteriores compatibles macOS Big Sur y macOS Monterey, hay una actualización del sistema al estilo antiguo que solo parchea Safari, que aparecerá como Safari 16.5.2 tras la actualización.

Hasta ahora, sin embargo [2023-07-10T23:00:00Z], no hay actualizaciones para ninguna otra plataforma de Apple, aunque es posible que iOS 15, aún soportado oficialmente en iPhones y iPads antiguos, también se vea afectado, junto con los Apple Watches y TVs.

Mantente atento al Portal de Seguridad general de Apple y a la nueva página de Respuesta Rápida de Seguridad para obtener más información sobre las actualizaciones para otros sistemas de Apple.

Dirígete a Ajustes > General > Actualización de software para comprobar si ya has recibido e instalado correctamente este parche de emergencia, y para ponerte al frente de la cola si no lo has hecho.

Recuerda que en los iPhone y iPads, todos los navegadores y aplicaciones que pueden mostrar contenido basado en la web (ya sean de Apple, Mozilla, Microsoft, Google o cualquier otro proveedor), están obligados a utilizar WebKit de forma encubierta.

Por tanto, ¡instalar un navegador alternativo y evitar Safari durante un tiempo cuando veas noticias como ésta no es suficiente por sí solo!

(Nota: En los Mac antiguos, comprueba si hay una actualización de Safari 16.5.2 mediante Acerca de este Mac > Actualización de software….)