manzana
Las noticias circulan hoy, tanto a través de un artículo en Vice y una publicación del Grupo de análisis de amenazas de Google, de un error de escalada de privilegios en macOS Catalina que estaba siendo utilizado por “un grupo con buenos recursos” y “probablemente respaldado por el estado” para orientar a los visitantes a sitios web prodemocracia en Hong Kong. Según Erye Hernandez de Google, la vulnerabilidad (etiquetado CVE-2021-30869
En la superficie, este incidente es un ejemplo relativamente común de que las actualizaciones de seguridad funcionan como deberían. La vulnerabilidad se descubre en la naturaleza, se informa de la vulnerabilidad a la empresa responsable del software y se repara la vulnerabilidad, todo en el espacio de aproximadamente un mes. El problema, como señaló el analista jefe de seguridad de Intego, Joshua Long, es que exactamente el mismo CVE fue parcheado en macOS Big Sur versión 11.2, lanzado desde el 1 de febrero de 2021. Esa es una brecha de 234 días, a pesar del hecho de que Apple estaba y sigue actualizando activamente ambas versiones de macOS.
Para contextualizar: cada año, Apple lanza una nueva versión de macOS. Pero para el beneficio de las personas que no quieren instalar un nuevo sistema operativo el primer día, o que hipocresía instalar el nuevo sistema operativo porque su Mac no está en la lista de hardware compatible, Apple proporciona actualizaciones solo de seguridad para versiones anteriores de macOS durante aproximadamente dos años después de que se reemplazan.
Esta política no se detalla en ninguna parte, pero la línea de tiempo informal de soporte de software “N + 2” ha estado vigente desde los primeros días de Mac OS X (como puede imaginar, se sintió mucho más generoso cuando Apple cumplió dos o tres años entre lanzamientos de macOS en lugar de un año). La suposición normal, y una que tengo en cuenta al hacer recomendaciones de actualización en nuestras revisiones anuales de macOS, es que “compatible” significa “compatible” y que no es necesario instalar un nuevo sistema operativo y lidiar con los errores del nuevo sistema operativo solo para beneficiarse de las últimas correcciones de seguridad de Apple.
Pero como Long señala en Twitter y en el Blog de seguridad de Intego Mac, ese no es siempre el caso. Se ha acostumbrado a comparar el contenido de seguridad de diferentes parches de macOS y ha descubierto que hay muchas vulnerabilidades que solo se parchean en las versiones más recientes de macOS (y parece iOS 15 puede ser de la misma manera, aunque iOS 14 todavía recibe soporte activo con actualizaciones de seguridad). Puede explicar algo de esta disparidad: muchas (¡aunque no todas!) De las vulnerabilidades de WebKit en esa lista fueron parcheado en una actualización separada de Safari, y algunos errores pueden afectar a funciones más nuevas que en realidad no están presentes en versiones anteriores del sistema operativo. Según Hernández, la vulnerabilidad en cuestión aquí no pareció afectar a macOS Mojave, a pesar de la falta de un parche. Pero en el caso de este error de escalada de privilegios, tenemos un ejemplo de una vulnerabilidad explotada activamente que estaba presente en varias versiones del sistema operativo, pero que durante meses solo se había parcheado en una de ellas.
La solución simple para este problema es que Apple debería proporcionar todos de las actualizaciones de seguridad para todos de los sistemas operativos que está actualizando activamente. Pero también es hora de una mejor comunicación sobre este tema. Apple debería detallar sus políticas de actualización para versiones anteriores de macOS, como hace Microsoft, en lugar de depender de su tiempo de lanzamiento actual, la última actualización de seguridad de macOS Mojave fue en julio, por ejemplo, lo que significa que a pesar de que todavía tenía soporte oficial y no oficial hasta que se lanzó Monterey en octubre, se perdió un montón de parches de seguridad lanzados para Sur grande y Catalina en septiembre. La gente no debería tener que hacerlo adivinar si su software aún se está actualizando.
A medida que Apple deja atrás más y más Macs Intel, también debería considerar extender esas líneas de tiempo, aunque solo sea para el hardware Mac que es literalmente incapaz de actualizarse a las versiones más recientes de macOS (hay un precedente para esto, ya que iOS 12 continuó recibiendo actualizaciones de seguridad para dos años después de haber sido reemplazado, pero solo en hardware que no se pudo actualizar a iOS 13 o posterior). No es razonable esperar que Apple admita versiones antiguas de macOS a perpetuidad, pero las Mac perfectamente funcionales no deberían estar en una situación en la que estén a dos años (o menos) de estar totalmente sin parche si Apple decide eliminarlas de la lista de soporte de ese año. .