Apple ha sido objeto de renovadas críticas después de apresurar una serie de parches para corregir dos días cero separados en su sistema operativo macOS Monterey y varios modelos de iPhone y iPad, pero no proporcionó una actualización para computadoras Mac más antiguas con macOS Catalina y ofreciendo Great Sur.
CVE-2020-22674 en el controlador de gráficos Intel y CVE-2022-22675 en el marco de decodificación y video AppleAVD son diferentes, un problema de lectura fuera de los límites y un problema de escritura fuera de los límites que dejan el kernel del dispositivo peligrosamente expuesto a un atacante potencial que se ejecuta en el peor de los casos, podría tomar el control completo del dispositivo de la víctima.
«Esta es la primera vez desde el lanzamiento de macOS Monterey que Apple no ha podido parchear las vulnerabilidades explotadas activamente para Big Sur y Catalina», dijo Joshua Long, analista jefe de seguridad de Intego, un proveedor especialista en servicios de seguridad para usuarios de Apple. «Las tres vulnerabilidades anteriores explotadas activamente se parchearon simultáneamente para Monterey, Big Sur y Catalina».
Según Long, la ingeniería inversa del parche reveló que macOS 11, también conocido como Big Sur, lanzado el 12 de noviembre de 2020, es vulnerable a CVE-202-22675, aunque la versión 10.15, lanzada el 7 de octubre de 2019, es demasiado conocida. como Catalina, esto no es Catalina no usa AppleAVD. Agregó que es probable que tanto Big Sur como Catalina sean vulnerables a CVE-2022-22674, aunque se está trabajando para confirmarlo.
«Estamos muy seguros de que es probable que CVE-2022-22674 afecte tanto a macOS Big Sur como a macOS Catalina. Casi todas las vulnerabilidades en el componente del controlador de gráficos Intel en los últimos años han afectado a todas las versiones de macOS», dijo.
Long dijo que los sistemas Mac que ejecutan Catalina y Big Sur probablemente representen entre el 35 % y el 40 % de la base instalada actual de Apple, aunque ese es un número inexacto porque Apple ya no distingue entre las versiones de macOs en las cadenas de agentes de usuario del navegador, lo que lo hace mucho más difícil para los extraños. para diferenciarlos.
La decisión de no parchear Catalina y Big Sur es una especie de desviación para Apple, que es notoriamente reservada sobre sus políticas de parches, pero generalmente ha lanzado parches para la actual y dos versiones anteriores de macOS, generalmente al mismo tiempo.
Long agregó que el problema también podría afectar a otras versiones de macOS. La investigación realizada el año pasado por Intego antes del lanzamiento de Monterey encontró que el 48 % de las más de 400 vulnerabilidades parcheadas por Apple se corrigieron en las tres versiones compatibles de macOS (entonces Catalina, Big Sur y Mojave), pero que el 34 % se corrigió solo para Catalina y Big Sur y el 16% fueron parcheados solo para Big Sur. De aquellos que estaban siendo explotados activamente tras la divulgación, en otras palabras, días cero, todos estos números aumentaron.
«Apple tiene un historial desafortunado de dejar a sabiendas versiones «compatibles» de macOS vulnerables a algunos ataques en estado salvaje explotados activamente. Este tipo de escenario, en el que un proveedor elige no lanzar un parche, a veces se denomina «día cero perpetuo», dijo Long.
Long dijo que la única forma en que el usuario promedio puede asegurarse de que su Mac sea lo más segura posible es actualizar a Monterey, aunque las preocupaciones de compatibilidad harán que eso sea imposible para muchos. «[But] la persona promedio nunca lo sabría porque Apple todavía está lanzando parches para Big Sur y Catalina, la última vez fue hace solo tres semanas, el 15 de marzo. Lo que la mayoría de la gente no se da cuenta es que los parches de Apple para estas versiones de macOS están incompletos”, dijo.
Esta no es la primera vez en los últimos meses que los expertos en seguridad critican a Cupertino por sus prácticas. En octubre de 2021, en medio de la creciente frustración por el programa de recompensas por errores de Apple, varios piratas informáticos éticos declararon que estaban considerando hacer públicos sus descubrimientos para obligar al gigante tecnológico a actuar.
Un investigador que reveló tres aparentes días cero en iOS a Apple dijo que la compañía no le dio el crédito adecuado y criticó la forma en que se comunicaba con los cazarrecompensas. Otro le dijo al sitio hermano de Computer Weekly, SearchSecurity, que sus informes no fueron confirmados ni revisados, y que en algunos casos no habían recibido un pago de recompensa.
Computer Weekly se puso en contacto con Apple para tratar de comprender mejor la situación y ofrecerle a la empresa el derecho a responder, pero no había respondido a nuestros enfoques al momento de escribir este artículo.