Apple no emite actualizaciones de seguridad mes a mes pero en ocasiones los problemas de la compañía con sede en Cupertino, California, lanzan lo que Sophos Labs llama "Update Surprisedays (día sorpresa de actualizaciones)".

El miércoles pasado fue uno de esos días, Apple liberó siete actualizaciones diseñadas para parchar huecos de seguridad en iOS 8 y OS 10.9.5 (Mavericks), así como el Apple TV 7, OS X Server 3.2.1, OS X Server 2.2.3, el entorno de desarrollo Xcode de Apple y Safari 6.2 y 7.1.

La empresa arregló más de 40 vulnerabilidades diferentes, "cubriendo 55 CVE"; 10 de los cuales "podrían permitir la ejecución remota de código, incluyendo tres en el interior del kernel" dijo el blog, señalando una "lista de huecos arreglados aleatoriamente", tales como bloqueo de errores de pantalla, el cifrado aplicado incorrectamente de la lista de contactos, la criticada e insegura autenticación Wi Fi y la fuga de contraseñas del manejador de contraseñas de Safari.

Las actualizaciones de iOS añaden más características que los parches de seguridad. El blog de Sophos señaló que las actualizaciones valían la pena para los usuarios de Apple, ya que los cambios que contenían los parches de seguridad eran importantes.

Cabe destacar que uno de los parches cumplió la promesa de Apple de "detener a sus iDevices que se culegan automáticamente de cualquier punto de acceso Wi Fi gratuito por el qe se ha pasado anteriormente", dijo el blog de --Sophos. Los dispositivos transmiten sus direcciones de código de acceso de medios en todos los paquetes enviados a través del Wi Fi que, aunque no identifican al usuario, puede decir a un vendedor "que la misma persona que acaba de comprar pantalones de algodón de moda masculina no está navegando cerca del yogurt orgánico en el departamento de comida ", dijo el blog.

Las actualizaciones también cubren "la ejecución remota de código (RCE), la divulgación de información por medio de técnicas de evasión como Address Space Layout Randomization (ASLR) y la elevación de privilegios (EOP)," dijo SophosLabs.

Shaun Murphy, CEO de PrivateGiant, dijo SCMagazine.com en una correspondencia por correo electrónico el viernes que no estaba sorprendido por los cambios. "Los errores se arrastran en el software dependiendo de la cantidad de control de calidad por los que pasan" dijo. "IOS 8 tiene una gran cantidad de nuevas capacidades que están fuera de la sandbox de Apple (extensiones, widgets) así que ya veremos lo bien que pueden equilibrar la seguridad, la comodidad y la elegancia."

Añadió que Heartbleed, la vulnerabilidad de OpenSSL, demostró que "incluso partes fundamentales de software pueden tener importantes problemas ocultos", incluso para los mejores, por lo que la industria debe "seguir buscando todos los posibles vectores de ataque, sean obvios o no."

UNAM-CERT recomienda a todos los usuarios de Apple aplicar las actualizaciones lo antes posible.