PSA: Apple en realidad no está reparando todos los agujeros de seguridad en versiones anteriores de macOS

, Forma parte de la Historia

Agrandar / El fondo de pantalla predeterminado para macOS Catalina.

manzana

Las noticias están circulando hoy, tanto a través de un artículo en Vice como de una publicación del Grupo de Análisis de Amenazas de Google, sobre un error de escalada de privilegios en macOS Catalina que estaba siendo utilizado por «una persona con recursos suficientes» y «probablemente respaldada por el estado». grupo para orientar a los visitantes de los sitios web a favor de la democracia en Hong Kong. Según Erye Hernandez de Google, la vulnerabilidad (etiquetada CVE-2021-30869) se informó a Apple a fines de agosto de 2021 y se parcheó en la actualización de seguridad de macOS Catalina 2021-006 el 23 de septiembre. Ambas publicaciones tienen más información sobre las implicaciones de este exploit (no ha sido confirmado, pero ciertamente parece ser otro frente más en el esfuerzo de China por tomar medidas enérgicas contra las libertades civiles en Hong Kong), pero para nuestros propósitos, centrémonos en cómo Apple mantiene sus sistemas operativos actualizados, porque eso tiene implicaciones aún más amplias.

En la superficie, este incidente es un ejemplo relativamente común de que las actualizaciones de seguridad funcionan como deberían. La vulnerabilidad se descubre en la naturaleza, se informa de la vulnerabilidad a la empresa responsable del software y se repara la vulnerabilidad, todo en el espacio de aproximadamente un mes. El problema, como señaló el analista jefe de seguridad de Intego, Joshua Long, es que exactamente el mismo CVE fue parcheado en macOS Big Sur versión 11.2, lanzado el 1 de febrero de 2021. Esa es una brecha de 234 días, a pesar del hecho de que Apple estaba y sigue actualizando activamente ambas versiones de macOS.

Para contextualizar: cada año, Apple lanza una nueva versión de macOS. Pero para el beneficio de las personas que no quieren instalar un nuevo sistema operativo el primer día, o que hipocresía instalar el nuevo sistema operativo porque su Mac no está en la lista de hardware compatible, Apple proporciona actualizaciones solo de seguridad para versiones anteriores de macOS durante aproximadamente dos años después de que se reemplazan.

Esta política no se detalla en ninguna parte, pero la línea de tiempo informal de soporte de software «N + 2» ha estado vigente desde los primeros días de Mac OS X (como puede imaginar, se sintió mucho más generoso cuando Apple cumplió dos o tres años entre lanzamientos de macOS en lugar de un año). La suposición normal, y una que tengo en cuenta al hacer recomendaciones de actualización en nuestras revisiones anuales de macOS, es que «compatible» significa «compatible» y que no es necesario instalar un nuevo sistema operativo y lidiar con los errores del nuevo sistema operativo solo para beneficiarse de las últimas correcciones de seguridad de Apple.

Pero como Long señala en Twitter y en el Blog de seguridad de Intego Mac, ese no es siempre el caso. Se ha acostumbrado a comparar el contenido de seguridad de diferentes parches de macOS y ha descubierto que hay muchas vulnerabilidades que solo se parchean en las versiones más recientes de macOS (y parece iOS 15 puede ser de la misma manera, aunque iOS 14 todavía recibe soporte activo con actualizaciones de seguridad). Puede explicar algo de esta disparidad: muchas (¡aunque no todas!) De las vulnerabilidades de WebKit en esa lista fueron parcheado en una actualización separada de Safari, y algunos errores pueden afectar a funciones más nuevas que en realidad no están presentes en versiones anteriores del sistema operativo. Según Hernández, la vulnerabilidad en cuestión aquí no pareció afectar a macOS Mojave, a pesar de la falta de un parche. Pero en el caso de este error de escalada de privilegios, tenemos un ejemplo de una vulnerabilidad explotada activamente que estaba presente en varias versiones del sistema operativo, pero que durante meses solo se había parcheado en una de ellas.

La solución simple para este problema es que Apple debería proporcionar todos de las actualizaciones de seguridad para todos de los sistemas operativos que está actualizando activamente. Pero también es hora de una mejor comunicación sobre este tema. Apple debería detallar sus políticas de actualización para versiones anteriores de macOS, como lo hace Microsoft, en lugar de depender de su actual sincronización de lanzamiento manual: la última actualización de seguridad de macOS Mojave fue en julio, por ejemplo, lo que significa que, aunque todavía era oficialmente -con apoyo no oficial hasta que Monterey fue lanzado en octubre, se perdió un montón de parches de seguridad lanzados para Big Sur y Catalina en septiembre. La gente no debería tener que hacerlo adivinar si su software aún se está actualizando.

A medida que Apple deja atrás más y más Macs Intel, también debería considerar extender esas líneas de tiempo, aunque solo sea para el hardware Mac que es literalmente incapaz de actualizarse a las versiones más recientes de macOS (hay un precedente para esto, ya que iOS 12 continuó recibiendo actualizaciones de seguridad para dos años después de haber sido reemplazado, pero solo en hardware que no se pudo actualizar a iOS 13 o posterior). No es razonable esperar que Apple admita versiones antiguas de macOS a perpetuidad, pero las Mac perfectamente funcionales no deberían estar en una situación en la que estén a dos años (o menos) de estar totalmente sin parche si Apple decide eliminarlas de la lista de soporte de ese año. .

Te puede interesar  El monitor ultraalto de 7:32 está listo para su suministro de noticias interminable

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *