En los últimos días muchos medios se han hecho eco de las duras críticas que Kristin Paget, investigadora de seguridad y ex-empleada de Apple, expresa en su blog personal, en contra de la política de actualizaciones de seguridad.Los dos sistemas operativos de Apple, OSX & iOS, comparten muchos elementos de su arquitectura, por lo que en general una vulnerabilidad afecta al primero puede afectar también al segundo. Sin embargo, cuando se publica una actualización de seguridad para OS X, suele transcurrir un periodo de tiempo hasta que el parche es publicado para iOS, y viceversa.
Paget sostiene que este lapso de tiempo, que puede llegar a las tres semanas, pone en grave riesgo la seguridad de los usuarios de la plataforma que es parcheada en último lugar. Cita como ejemplo la actualización de iOS 7.1.1, recientemente publicada por Apple, que soluciona las mismas vulnerabilidades que habían sido parcheadas en las versiones 6.1.3 y 7.0.3 de Apple Safari para OS X a primeros del mes Abril.
 |
| Figura 1: El post de Kristin Paget al respecto |
Dichas vulnerabilidades, que afectaban a WebKit, el motor utilizado para renderizar páginas web, tenían graves implicaciones puesto que permitían a un atacante ejecutar código arbitrario. Según parece, Apple dejó expuestos a los usuarios de iOS durante un mes, de forma premeditada. Por desgracia esto ha pasado varias veces, llegando hasta pasar casi un mes, como en el caso del bloqueo de certificados robados.
Lo cierto es que Apple no es la única compañía que sigue una política de este tipo. Las actualizaciones de Flash Player, por ejemplo, tardan semanas en llegar a Adobe Reader. Uno de los pocos supuestos bajo los que sería razonable priorizar una plataforma sería el de una actualización de urgencia debida a un 0-day que estuviese siendo explotado de forma activa para uno de los dos productos.
No hay comentarios:
Publicar un comentario