Apple vuelve a recibir críticas después de lanzar una serie de parches para abordar dos días cero separados en su sistema operativo macOS Monterey, así como en varios modelos de iPhone y iPad, pero se olvidó de ofrecer una actualización a las computadoras Mac más antiguas que ejecutan macOS Catalina y Sur grande.
CVE-2020-22674 en el controlador de gráficos Intel y CVE-2022-22675 en el marco de decodificación y video AppleAVD son, de diversas formas, un problema de lectura fuera de los límites y un problema de escritura fuera de los límites que si deja el kernel del dispositivo expuesto peligrosamente a un atacante potencial, quien, en el peor de los casos, podría tomar el control total del dispositivo de la víctima.
“Esta es la primera vez desde el lanzamiento de macOS Monterey que Apple se olvida de parchear las vulnerabilidades explotadas activamente para Big Sur y Catalina”, dijo Joshua Long, analista jefe de seguridad de Intego, un proveedor especializado de servicios de seguridad para usuarios de Apple. “Las tres vulnerabilidades anteriores explotadas activamente se parchearon simultáneamente para Monterey, Big Sur y Catalina”.
Según Long, la ingeniería inversa del parche ha demostrado que macOS 11, también conocido como Big Sur, lanzado el 12 de noviembre de 2020, es vulnerable a CVE-202-22675, aunque la versión 10.15, también conocida como Catalina, lanzada el 7 de octubre de 2019, no lo es porque Catalina no usa AppleAVD. Agregó que es probable que tanto Big Sur como Catalina sean vulnerables a CVE-2022-22674, aunque actualmente se está trabajando para confirmarlo.
“Confiamos mucho en que CVE-2022-22674 probablemente afecte tanto a macOS Big Sur como a macOS Catalina. Casi todas las vulnerabilidades en el componente Intel Graphics Driver en los últimos años han afectado a todas las versiones de macOS”, dijo.
Long dijo que se cree que los sistemas Mac que ejecutan Catalina y Big Sur representan entre el 35% y el 40% de la base instalada actual de Apple, aunque esta es una cifra imprecisa ya que Apple ya no distingue entre las versiones de macOs en las cadenas del Agente de usuario del navegador, lo que lo hace mucho más difícil. para que los extraños los distingan.
La decisión de no parchear Catalina y Big Sur se presenta como una especie de desviación para Apple, que es notoriamente reservada sobre sus políticas de parches, pero generalmente ha lanzado parches para la actual y dos versiones anteriores de macOS, generalmente simultáneamente.
Long agregó que el problema bien podría afectar a otras versiones de macOS. La investigación realizada el año pasado por Intego, antes del lanzamiento de Monterey, encontró que el 48 % de las más de 400 vulnerabilidades parcheadas por Apple se corrigieron en las tres versiones compatibles de macOS (en ese momento, Catalina, Big Sur y Mojave), pero que 34 El % solo se parcheó para Catalina y Big Sur, y el 16% solo se parcheó para Big Sur. De los que se explotaron activamente en la divulgación, en otras palabras, los días cero, todas esas cifras aumentaron.
“Apple tiene un historial desafortunado de dejar a sabiendas versiones macOS ‘compatibles’ desprotegidas de algunos ataques en estado salvaje explotados activamente. Este tipo de escenario en el que un proveedor elige no lanzar un parche a veces se denomina ‘día cero perpetuo’”, dijo Long.
Long dijo que la única forma en que el usuario promedio puede asegurarse de que su Mac sea lo más segura posible es actualizar a Monterey, aunque por razones de compatibilidad a muchos les resultará imposible. “[But] la persona promedio nunca sabría esto, porque Apple todavía lanza parches para Big Sur y Catalina, el más reciente hace solo tres semanas, el 15 de marzo. No es obvio para la mayoría de las personas que los parches de Apple para estas versiones de macOS están incompletos”, dijo. dijo.
Esta no es la primera vez en los últimos meses que los expertos en seguridad critican a Cupertino por sus prácticas. En octubre de 2021, en medio de la creciente frustración con el programa Bug Bounty de Apple, varios piratas informáticos éticos declararon oficialmente que estaban considerando hacer públicos sus descubrimientos para forzar la mano del gigante tecnológico.
Un investigador, que reveló a Apple tres aparentes días cero en iOS, dijo que la compañía no le había acreditado adecuadamente y criticó cómo se comunica con los cazarrecompensas. Otro le dijo al sitio hermano de Computer Weekly, SearchSecurity, que sus informes no fueron reconocidos ni clasificados, y que en algunos casos no habían recibido un pago de recompensa.
Computer Weekly se puso en contacto con Apple para tratar de comprender mejor la situación y ofrecerle a la empresa el derecho de réplica, pero no había respondido a nuestros enfoques al momento de escribir este artículo.