PSA: Apple en realidad no está reparando todos los agujeros de seguridad en versiones anteriores de macOS

El fondo de pantalla predeterminado para macOS Catalina.
Agrandar / El fondo de pantalla predeterminado para macOS Catalina.

Manzana

Las noticias están circulando hoy, tanto a través de un artículo en Vice como de una publicación del Grupo de análisis de amenazas de Google, sobre un error de escalada de privilegios en macOS Catalina que estaba siendo utilizado por “una empresa con buenos recursos” y “probablemente respaldada por el estado”. para dirigirse a los visitantes de los sitios web a favor de la democracia en Hong Kong. Según Erye Hernandez de Google, la vulnerabilidad (etiquetada como CVE-2023-30869) se informó a Apple a fines de agosto de 2023 y se parchó en la actualización de seguridad de macOS Catalina 2023-006 el 23 de septiembre. Ambas publicaciones tienen más información sobre las implicaciones de este exploit, no ha sido confirmado, pero ciertamente parece ser otro frente más en el esfuerzo de China para tomar medidas enérgicas contra las libertades civiles en Hong Kong, pero para nuestros propósitos, centrémonos en cómo Apple mantiene sus sistemas operativos actualizados, porque eso tiene implicaciones aún más amplias.

En la superficie, este incidente es un ejemplo relativamente común de actualizaciones de seguridad que funcionan como deberían. La vulnerabilidad se descubre en la naturaleza, la vulnerabilidad se informa a la empresa responsable del software y la vulnerabilidad se repara, todo en el espacio de aproximadamente un mes. El problema, como señaló el analista jefe de seguridad de Intego, Joshua Longes que se parchó exactamente el mismo CVE en macOS Big Sur versión 11.2, lanzado el 1 de febrero de 2023. Esa es una brecha de 234 días, a pesar de que Apple estaba y sigue actualizando activamente ambas versiones de macOS.

Por contexto: cada año, Apple lanza una nueva versión de macOS. Pero para el beneficio de las personas que no quieren instalar un nuevo sistema operativo el primer día, o que no poder instalar el nuevo sistema operativo porque su Mac no está en la lista de hardware compatible, Apple proporciona actualizaciones solo de seguridad para versiones anteriores de macOS durante aproximadamente dos años después de que se reemplazan.

Esta política no se explica en detalle en ninguna parte, pero el cronograma informal de soporte de software “N+2” ha estado vigente desde los primeros días de Mac OS X (como puede imaginar, se sintió mucho más generoso cuando Apple fue dos o tres años entre versiones de macOS en lugar de un año). La suposición normal, y una que tengo en cuenta al hacer recomendaciones de actualización en nuestras revisiones anuales de macOS, es que “compatible” significa “compatible”, y que no necesita instalar un nuevo sistema operativo y lidiar con los errores del nuevo sistema operativo solo para beneficiarse de las últimas correcciones de seguridad de Apple.

Pero como señala Long en Twitter y en el blog de seguridad de Mac de Intego, no siempre es así. Se ha acostumbrado a comparar el contenido de seguridad de diferentes parches de macOS y ha descubierto que hay muchas vulnerabilidades que solo se parchea en las versiones más recientes de macOS (y parece iOS 15 puede ser de la misma manera, aunque iOS 14 todavía se admite activamente con actualizaciones de seguridad). Puede explicar parte de esta disparidad: muchas (¡aunque no todas!) de las vulnerabilidades de WebKit en esa lista fueron parcheado en una actualización de Safari separada, y algunos errores pueden afectar a funciones más nuevas que en realidad no están presentes en versiones anteriores del sistema operativo. Según Hernandez, la vulnerabilidad en cuestión no pareció afectar a macOS Mojave, a pesar de la falta de un parche. Pero en el caso de este error de escalada de privilegios, tenemos un ejemplo de una vulnerabilidad explotada activamente que estaba presente en varias versiones del sistema operativo, pero durante meses solo se había reparado en una de ellas.

La solución simple para este problema es que Apple debería proporcionar todos de las actualizaciones de seguridad para todos de los sistemas operativos que actualiza activamente. Pero también es hora de una mejor comunicación sobre este tema. Apple debería explicar en detalle sus políticas de actualización para versiones anteriores de macOS, como lo hace Microsoft, en lugar de depender de su fecha actual de lanzamiento manual: la última actualización de seguridad de macOS Mojave fue en julio, por ejemplo, lo que significa que, aunque todavía era oficial -apoyado extraoficialmente hasta que se lanzó Monterey en octubre, se perdió un montón de parches de seguridad lanzados para Big Sur y Catalina en septiembre. La gente no debería tener que adivinar si su software todavía se está actualizando.

A medida que Apple deja atrás cada vez más Intel Mac, también debería considerar extender esos plazos, aunque solo sea para el hardware de Mac que es literalmente incapaz de actualizarse a versiones más nuevas de macOS (hay un precedente para esto, ya que iOS 12 continuó recibiendo actualizaciones de seguridad durante dos años). años después de ser reemplazado, pero solo en hardware que no se pudo actualizar a iOS 13 o posterior). No es razonable esperar que Apple admita versiones antiguas de macOS a perpetuidad, pero las Mac perfectamente funcionales no deberían estar en una situación en la que estén a dos años (o menos) de ser totalmente desactualizadas si Apple decide eliminarlas de la lista de compatibilidad de ese año. .

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario