Apple ha emitido una nueva ronda de actualizaciones de Respuesta Rápida de Seguridad (RSR) para abordar un nuevo error Zero-Day que está siendo explotado en ataques actuales y que afecta a iPhones, Macs y iPads.
IMPORTANTE: si tienes un iPhone e instalaste la actualización lanzada ayer correspondiente a la versión 16.5.x (a), es probable que experimentes problemas con Facebook, Instagram, Zoom, Safari y otras apps. Apple ya retiró esta actualización y está trabajando en su solución.
"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente", dice el aviso HT213825 de iOS y macOS al describir la vulnerabilidad CVE-2023-37450 informada por un investigador de seguridad anónimo. "Esta respuesta de seguridad rápida proporciona correcciones de seguridad importantes y se recomienda para todos los usuarios".
Los parches RSR se han introducido como actualizaciones compactas diseñadas para abordar los problemas de seguridad en las plataformas iPhone, iPad y Mac, y cumplen el propósito de resolver problemas de seguridad que surgen de forma urgente, según este documento de soporte.
Los parches de Rapid Security Response están destinados a ser rápidos de instalar y fáciles de eliminar después si tiene problemas. El sistema Rapid Security Response está destinado a eludir ese problema, al menos para un subconjunto de software en el dispositivo, en particular para Safari y otros componentes de navegación web, que los delincuentes suelen explotar para lanzar ataques como la implantación silenciosa de software espía o la inyección de vigilancia. malware relacionado.
Además, algunas actualizaciones de seguridad fuera de banda también se pueden emplear para contrarrestar las vulnerabilidades de seguridad que se explotan activamente en los ataques.
Si se desactivan las actualizaciones automáticas o no se instala Rapid Security Responses cuando se ofrece, el dispositivo recibirá parches normales, como parte de futuras actualizaciones de software.
La lista de hoy de parches de emergencia incluye:
- macOS Ventura 13.4.1 (a)
- iOS 16.5.1 (a)
- iPad OS 16.5.1 (a)
- Safari 16.5.2
Décimo Zero-Day en 2023
Desde principios de 2023, Apple ha parcheado diez fallas Zero-Day explotadas de forma activa en iPhones, Mac o iPads.
A principios de este mes, Apple abordó tres vulnerabilidades de día cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) explotadas para implementar software espía Triangulation en iPhones a través de vulnerabilidades de clic cero de iMessage.
También arregló tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo, el primero informado por Amnistía Internacional Security Lab y los investigadores del Grupo de análisis de amenazas de Google y probablemente se utilizó para instalar software espía mercenario.
En abril, Apple arregló otros dos días cero (CVE-2023-28206 y CVE-2023-28205) utilizados como parte de cadenas de explotación de fallas de día cero y día N de Android, iOS y Chrome para implementar software espía en dispositivos pertenecientes a a objetivos de alto riesgo.
En febrero, Apple parcheó otro día cero en WeKit (CVE-2023-23529) explotado para lograr la ejecución de código en iPhones, iPads y Mac vulnerables.
El costo de las actualizaciones "es un sentido"
El costo de la decisión comercial de Apple de mantenerlo en un camino unidireccional de actualizaciones de iPhone y iPad es que la empresa no puede darse el lujo de apresurar las actualizaciones de emergencia tan rápido como le gustaría.
Esto se debe a que la única forma de corregir cualquier problema crítico que pueda causar una actualización es producir otra actualización completa para reemplazarla, ya que no existe un proceso de solución rápida para una actualización completa existente que se lanzó demasiado rápido.
De todos modos, solo unas pocas horas después de aconsejar a todos que obtengan iOS y iPadOS 16.5.1 (a), los informes a través del sitio MacRumors sugieren que las actualizaciones se han retirado por el momento.
Por el momento, Apple ha dejado de impulsar las actualizaciones de RSR. Según los informes, esto sucedió después de que algunos servicios, incluidos Zoom, Facebook e Instagram, comenzaron a mostrar errores de "Navegador no compatible" en Safari en dispositivos parcheados porque la "(a)" adicional en la versión estaba rompiendo la detección del agente de usuario de las plataformas.
Fuente: BC