La seguridad de Apple ha durado 3 días: nuevas actualizaciones para parchear vulnerabilidades en iPhone, iPad, Macs y Watch

Por Protector Indefinido
22/09/2023
MarcasSmartphonesSoftware

Apple siempre ha tenido fama de tener un software muy poco seguro. Normalmente, y salvo excepciones, año tras año en las conferencias y reuniones de hackers suelen tener los tiempos más bajos en hackeos varios dentro de sus SO. Un ejemplo de los problemas y del control de calidad del software de los de Cupertino son las nuevas actualizaciones contra vulnerabilidades para sus SO principales, solo tres días después de lanzar nuevas versiones, con iOS 17 a la cabeza, aprovechando el lanzamiento del iPhone 15. Estos son iOS 17.0.1, iPadOS 17.0.1, watchOS 10.0.1 y macOS 13.6 como parches de vulnerabilidad críticos.

La cantidad de dispositivos vulnerables es más que amplia, se podría decir que es enorme. Como suele pasar, Apple no ha especificado nada hasta que no las ha tenido cubiertas con parches, pero esto no es garantía de nada más allá de que a partir de la publicación cualquier atacante ya sabe que la vulnerabilidad ya está mitigada, pero antes de eso...

Tres nuevas vulnerabilidades, ¿por qué Apple no esperó tres días y lanzó iOS 17 ya con ellas mitigadas?

iOS-17-novedades,-características-y-funciones

Es lo que no se entiende ni nadie se explica. Y menos si tenemos en cuenta que fueron informados de estas tres vulnerabilidades de tipo Zero Day por las mismas personas: Bill Marczak del Citizen Lab de la Munk School de la Universidad de Toronto, y Maddie Stone del Threat Analysis Group de Google.

Las tres nuevas vulnerabilidades, siendo del mismo tipo, dejan paso de formas distintas. Dos de ellas abren la veda a la seguridad del motor WebKit y su marco. Estas han permitido durante bastantes meses que los atacantes eludieran la validación de firmas mediante el uso de aplicaciones maliciosas.

La veda no termina aquí, puesto que hay un segundo uso de la vulnerabilidad. Este es la obtención de la ejecución de código arbitrario a través de webs creadas con fines perversos y realizadas para tal acción. Estas dos están catalogadas ya como CVE-2023-41993 y CVE-2023-41991.

La tercera reza dentro del Kernel Framework, muy grave, porque proporciona parte de la API y extensiones variadas a drivers del SO. La vulnerabilidad permite al atacante escalar privilegios dentro del SO hasta hacerse con el control del mismo. Está catalogada como CVE-2023-41992.

Apple iOS 17.0.1, iPadOS 17.0.1, watchOS 10.0.1 y macOS 13.6, los parches que cierran las brechas

iOS-17.0

Si no te han llegado las últimas actualizaciones de forma automática, entonces mejor fuérzalas para que se te instalen. Y es que es difícil que te salves de estas tres vulnerabilidades, porque la cantidad de dispositivos afectados es gigantesca y evidencia el tiempo que llevan ahí. Si tienes uno de estos dispositivos de Apple y no tienes las versiones arribas especificadas, eres vulnerable a los ataques comentados:

  • iPhone 8 y posteriores.
  • iPad mini de 5.ª generación y posteriores.
  • Macs con macOS Monterey y posteriores.
  • Apple Watch Serie 4 y posteriores.

Como vemos, lo difícil realmente es no estar afectados por ninguna de ellas. Con estas tres son ya 12 en lo que va de año para Apple, donde no hace ni un mes se tuvo que parchear una extremadamente grave que afectaba al software espía comercial Pegasus, muy famoso en nuestro país por todo el tema de las escuchas a los políticos catalanes, y que Apple no había ni siquiera visto.