Apple lanzó una nueva versión de su última actualización de seguridad para macOS, iPadOS e iOS el jueves por la noche. El grupo retiró la llamada Respuesta de seguridad rápida (RSR) debido a problemas de compatibilidad del sitio web. Programas conocidos como Instagram o Zoom han informado que su navegador Safari con parche RSR «ya no es» compatible. Motivo: Apple modificó la cadena del agente de usuario y le agregó «(a)», que los sitios web no pueden leer correctamente.
anuncio
Error de día cero corregido: riesgo de explotación
Apple afirma que el error ahora debería corregirse. La actualización se puede importar a través de la configuración del sistema en Mac, iPad y iPhone, pero también debería distribuirse automáticamente en las próximas semanas, y los RSR están destinados a llegar a los dispositivos lo más rápido posible. El motivo principal de la actualización fue un error de día cero en el motor del navegador WebKit, que Apple dice que ya ha sido explotado. Aparentemente, fue suficiente llamar a un sitio web manipulado para que el atacante pudiera ejecutar cualquier código, aunque quizás no con derechos de root. «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», dijo la compañía. El ID de CVE es 2023-37450, Apple dice que el buscador quiere permanecer en el anonimato.
En realidad, la RSR se envió a los usuarios el lunes por la noche, pero se retiró en un breve período de tiempo, es decir, ya no se distribuye a través de una actualización de software. Después de eso, Apple tardó tres días en implementar la solución. La actualización ahora se llama «Respuesta de seguridad de iOS 16.5.1 (c)» o «Respuesta de seguridad de macOS Ventura 13.4.1 (c)». El grupo ignoró la «b» internamente, la actualización es relativamente rápida en iPhone y iPad, aquí no es necesario un reinicio completo. Sin embargo, la configuración puede tardar unos minutos. La actualización también es un poco más rápida en una Mac, pero requiere reiniciar. Monterey y Big Sur (macOS 13 y macOS 12) tienen su propia actualización de Safari 16.5.2. Parece que esto no ha sido actualizado por Apple.
¿Qué pueden hacer las actualizaciones de respuesta de seguridad rápida?
La idea de Apple con los RSR es mejorar la mala reputación de las actualizaciones de seguridad («demasiado grandes para descargar», «tarda demasiado», «no hay suficiente espacio de almacenamiento»). Por lo tanto, el grupo introdujo las denominadas medidas de seguridad rápidas en 2022 con macOS 13 e iOS/iPadOS 16. Estas son actualizaciones de seguridad ligeras que Apple puede lanzar fuera de las actualizaciones periódicas para solucionar agujeros de seguridad graves. De esta manera, el ciclo de desarrollo planificado nunca se desfasa. Dado que también puede omitir algunas de las pruebas exhaustivas de una actualización regular, Apple puede entregar actualizaciones de seguridad con menos demora que antes y, por lo tanto, reaccionar más rápidamente a las vulnerabilidades conocidas.
Es práctico que también exista la opción de revertir las actualizaciones. Esto fue útil en este caso porque el primer error de RSR 16.5.1(a) deshabilitó el uso de sitios web críticos. En Configuración del sistema en General y Acerca de, hace clic en la actualización para su iPhone y iPad (en una Mac mini en la «i») y luego tiene la opción de deshacerla. Por supuesto, también pierde la protección que proporciona el parche.
anuncio
(Licenciatura)
«Erudito en viajes incurable. Pensador. Nerd zombi certificado. Pionero de la televisión extrema. Explorador general. Webaholic».
