PSA: Apple no está solucionando todos los agujeros de seguridad en versiones anteriores de macOS

09:09 15/11/2021 | 2 Lượt xem

El fondo de pantalla predeterminado de macOS Catalina.
Ampliar / El fondo de pantalla predeterminado de macOS Catalina.

basura

Hoy circulan noticias, tanto a través de un artículo en Vice como de una publicación del Grupo de análisis de amenazas de Google, sobre un error de escalada de privilegios en macOS Catalina que estaba siendo utilizado por “uno con buenos recursos” y un grupo “probablemente respaldado por el Estado” para dirigir visitantes de sitios web en favor de la democracia en Hong Kong. Según Erye Hernandez de Google, la vulnerabilidad (etiquetada CVE-2021-30869) se informó a Apple a fines de agosto de 2021 y se solucionó en la actualización de seguridad macOS Catalina 2021-006 el 23 de septiembre. Ambas publicaciones tienen más información sobre las implicaciones de esta hazaña; no se ha confirmado, pero ciertamente parece ser otro frente en el esfuerzo de China para tomar medidas enérgicas contra las libertades civiles en Hong Kong, pero para nuestros propósitos, centrémonos en cómo Apple mantiene sus sistemas operativos actualizados, porque eso tiene implicaciones aún más amplias.

En la superficie, este incidente es un ejemplo relativamente común de actualizaciones de seguridad que funcionan como deberían. La vulnerabilidad se descubre libremente, la vulnerabilidad se informa a la empresa responsable del software y la vulnerabilidad se corrige, todo en aproximadamente un mes. El problema, como señaló el analista jefe de seguridad de Intego, Joshua Long, es que el mismo CVE se corrigió en macOS Big Sur versión 11.2, lanzada el 1 de febrero de 2021. Eso es un intervalo de 234 días, a pesar de que Apple estaba y todavía está actualizando activamente ambas versiones de macOS.

Para ponerlo en contexto: cada año, Apple lanza una nueva versión de macOS. Pero en beneficio de las personas que no quieren instalar un nuevo sistema operativo el primer día, o que no puede instalar el nuevo sistema operativo porque la Mac no está en la lista de hardware compatible, Apple proporciona actualizaciones de seguridad solo para versiones anteriores de macOS durante aproximadamente dos años después del reemplazo.

Esta política no está definida en ninguna parte, pero el programa informal de soporte de software “N + 2” ha estado vigente desde los primeros días de Mac OS X (como puede imaginar, parecía mucho más generoso cuando Apple tenía dos o tres años entre lanzamientos de macOS en lugar de un año). La suposición normal, y una que tengo en cuenta al hacer recomendaciones de actualización en nuestras revisiones anuales de macOS, es que “compatible” significa “compatible” y que no es necesario instalar un nuevo sistema operativo y lidiar con los nuevos errores del sistema operativo solo para Benefíciese de las últimas correcciones de seguridad de Apple.

Pero como Long señala en Twitter y el Blog de seguridad de Intego Mac, ese no es siempre el caso. Se acostumbró a comparar el contenido de seguridad de diferentes parches de macOS y descubrió que hay muchas vulnerabilidades que solo se corrigen en las últimas versiones de macOS (y parece iOS 15 puede ser igual, aunque iOS 14 todavía admite activamente las actualizaciones de seguridad). ¿Puede explicar algunas de estas disparidades? Muchas (¡aunque no todas!) De las vulnerabilidades de WebKit en esta lista fueron parcheado en una actualización separada de Safari, y algunos errores pueden afectar a funciones más nuevas que en realidad no están presentes en versiones anteriores del sistema operativo. Según Hernández, la vulnerabilidad en cuestión aquí no parece afectar a macOS Mojave, a pesar de no tener un parche. Pero en el caso de este error de escalada de privilegios, tenemos un ejemplo de una vulnerabilidad explotada activamente que estaba presente en varias versiones del sistema operativo, pero que durante meses solo se había solucionado en una de ellas.

La solución simple a este problema es que Apple debe proporcionar todo de actualizaciones de seguridad para todo sistemas operativos que está actualizando activamente. Pero también es hora de una mejor comunicación sobre el tema. Apple debería establecer sus políticas de actualización para versiones anteriores de macOS, como lo hace Microsoft, en lugar de depender de su fecha de lanzamiento actual: la última actualización de seguridad de macOS Mojave fue en julio, por ejemplo, lo que significa que, aunque todavía era oficialmente compatible, no oficialmente hasta El lanzamiento de Monterey en octubre, omitió varios parches de seguridad lanzados para Big Sur y Catalina en septiembre. la gente no debería tener que hacerlo pensar si el software aún se está actualizando.

A medida que Apple deja atrás más y más Macs Intel, también debería considerar extender estos plazos, aunque solo sea para el hardware de Mac que literalmente no puede actualizar a versiones más nuevas de macOS (hay precedentes de esto, ya que iOS 12 continuó recibiendo actualizaciones de seguridad para dos años después de que fue reemplazado, pero solo en hardware que no se actualizó a iOS 13 o posterior). No es razonable esperar que Apple admita versiones anteriores de macOS a perpetuidad, pero las Mac que funcionan perfectamente no deberían estar en una situación en la que pasen dos años (o menos) de quedar completamente sin parche si Apple decide eliminarlas de la lista de compatibilidad de MacOS. año .

Related Posts

Magic Eraser vuelve a Google Pixel 6

Después de una breve pausa accidental, Google Photos restaura su recurso más interesante El desarrollo de software es un negocio precario, como probablemente Google sepa mejor que nadie. Uno de los últimos errores de...

lên đầu trang