Llegó la última colección de actualizaciones de seguridad de Apple, incluida la recién lanzada macOS 13 Ventura , que vino acompañada de su propio boletín de seguridad que enumera la enorme cantidad de 112 agujeros de seguridad numerados por CVE.
De ellos, contamos 27 agujeros de ejecución de código arbitrario, de los cuales 12 permiten que se inyecte código no autorizado directamente en el kernel y uno permite que se ejecute código que no es de confianza con privilegios del sistema.
Además de eso, hay dos errores de elevación de privilegios (EoP) enumerados para Ventura que asumimos que podrían usarse junto con algunos, muchos o todos los 14 errores de ejecución de código que no son del sistema restantes para formar una cadena de ataque que convierte un exploit de ejecución de código a nivel de usuario en uno a nivel de sistema.
iPhone y iPad en riesgo de la vida real
Sin embargo, esa no es la parte más crítica de esta historia.
El premio al “peligro claro y presente” es para iOS y iPadOS , que se actualizan a la versión 16.1 y 16 respectivamente, donde una de las vulnerabilidades de seguridad enumeradas permite la ejecución del código del kernel desde cualquier aplicación y ya se está explotando activamente.
En resumen, los iPhones y iPads necesitan parches de inmediato debido a un kernel de día cero .
Apple no ha dicho qué grupo de ciberdelincuencia o empresa de software espía está abusando de este error, denominado CVE-2022-42827 , pero dado el alto precio que cobran los días cero del iPhone en funcionamiento en el inframundo cibernético, asumimos que quienquiera que esté en posesión de este exploit [ a] sabe cómo hacer que funcione de manera efectiva y [b] es poco probable que llame la atención sobre ello, para mantener a las víctimas existentes en la oscuridad tanto como sea posible.
Apple ha sacado a relucir su habitual comentario repetitivo en el sentido de que la compañía “está al tanto de un informe de que este problema puede haber sido explotado activamente” , y eso es todo.
Como resultado, no podemos ofrecerle ningún consejo sobre cómo verificar si hay signos de ataque en su propio dispositivo; no tenemos conocimiento de los llamados IoC ( indicadores de compromiso ), como archivos extraños en su copia de seguridad, cambios de configuración inesperados o entradas inusuales en el archivo de registro que podría buscar.
Nuestra única recomendación es, por lo tanto, nuestro impulso habitual para aplicar parches pronto o con frecuencia, dirigiéndonos a Configuración > General > Actualización de software y eligiendo Descargar e instalar si aún no ha recibido las correcciones.
¿Por qué esperar a que su dispositivo encuentre y sugiera las actualizaciones por sí mismo cuando puede saltar al principio de la cola y obtenerlas de inmediato?
Catalina se cayó?
Como habrás supuesto, dado que el lanzamiento de Ventura lleva macOS a la versión 13, macOS 10 Catalina de hace tres versiones no aparece en la lista esta vez.
Por lo general, Apple proporciona actualizaciones de seguridad solo para las versiones anteriores y anteriores de macOS, y así es como se desarrollaron los parches aquí, con parches para llevar macOS 11 Big Sur a la versión 11.7.1 y macOS 12 Monterey a la versión 12.6.1 .
Sin embargo, esas versiones también obtienen una actualización separada que aparece como Safari 16.1 , que corrige varios errores que suenan peligrosos en Safari y su biblioteca de software subyacente WebKit.
Recuerde que Safari no solo usa WebKit, sino también cualquier otra aplicación que se base en el código subyacente de Apple para mostrar cualquier tipo de contenido basado en HTML, incluidos los sistemas de ayuda, las pantallas Acerca de y los “mininavegadores” integrados, comúnmente vistos en los mensajes. aplicaciones que ofrecen una opción para ver archivos HTML, páginas o mensajes.
Apple watchOS y tvOS también obtienen numerosas correcciones, y sus números de versión se actualizan a watchOS 9.1 y tvOS 16.1 respectivamente.
¿Qué hacer?
La buena noticia es que es probable que solo los primeros usuarios y desarrolladores de software ya estén ejecutando Ventura, como parte del ecosistema Beta de Apple.
Esos usuarios deben actualizar lo antes posible, sin esperar un recordatorio del sistema o que se active la actualización automática, dada la gran cantidad de errores corregidos.
Si no está en Ventura pero tiene la intención de actualizar de inmediato, su primera experiencia con la nueva versión incluirá automáticamente los parches 112 CVE mencionados anteriormente, por lo que la actualización incluirá automáticamente las actualizaciones .
Si planea quedarse con la versión anterior o anterior de macOS por un tiempo (o si, como nosotros, tiene una Mac más antigua que no se puede actualizar), no olvide que necesita dos actualizaciones: uno específico para Big Sur o Monterey, y el otro una actualización para Safari que es la misma para ambos tipos de sistemas operativos.
Resumir:
- En iOS o iPad OS, use con urgencia Configuración > General > Actualización de software
- En macOS, use el menú Apple > Acerca de esta Mac > Actualización de software…
- de macOS 13 Ventura Beta deben actualizar inmediatamente a la versión completa.
- Los usuarios de Big Sur y Monterey que se actualizan a Ventura obtienen las correcciones de seguridad de macOS 13 al mismo tiempo.
- macOS 11 Big Sur va a 11.7.1 y también necesita Safari 16.1 .
- macOS 12 Monterey va a 12.6.1 y también necesita Safari 16.1 .
- watchOS va a 9.1 .
- tvOS va a 16.1 .
Tenga en cuenta que macOS 10 Catalina no recibe actualizaciones, pero asumimos que es porque es el final del camino para los usuarios de Catalina, no porque todavía sea compatible, sino porque era inmune a cualquiera de los errores encontrados en versiones posteriores.
Si tenemos razón, los usuarios de Catalina que no pueden actualizar sus Mac se ven obligados a ejecutar software de Apple cada vez más obsoleto para siempre, o cambiar a un sistema operativo alternativo, como una distribución de Linux que todavía es compatible con su dispositivo.
Enlaces rápidos a los boletines de seguridad de Apple:
- APPLE-SA-2022-10-24-1: HT213489 para iOS 16.1 y iPadOS 16
- APPLE-SA-2022-10-24-2: HT213488 para macOS
- APPLE-SA-2022-10-24-3: HT213494 para macOS Monterey 12.6.1
- APPLE-SA-2022-10-24-4: HT213493 para macOS Big Sur 11.7.1
- APPLE-SA-2022-10-24-5: HT213491 para watchOS 9.1
- MANZANA-SA-2022-10-24-6: HT213492 para tvOS 16.1
- MANZANA-SA-2022-10-24-7: HT213495 para Safari 16.1