I augusti publicerade vi artikeln Apples oroväckande underhållstrend. Den artikeln fokuserade framförallt på hur Apple har låtit bli att åtgärda sårbarheter i äldre underhållna versioner av Mac OS.
Historiskt har Apple underhållit de tre senaste versionerna av Mac OS parallellt, vilket gjort att Mac-användarna inte har behövt uppgradera till den senaste versionen direkt. Detta har varit till nytta för framförallt organisationer som av kompatibilitets- eller stabilitetsskäl inte har kunnat uppgradera till en ny operativsystemsversion direkt.
Försämrade underhållet av Mac OS
I början av 2021 var Mac OS 11 (Big Sur) den senaste släppta Mac OS-versionen. Den första februari 2021 rullade Apple ut en uppdatering för att åtgärda sårbarheten CVE-2021-30869 i just Mac OS 11. Apple skrev ingenting om huruvida äldre versioner av Mac OS var påverkade, något de visade sig vara. Det dröjde dock över ett halvår, till den 23:e september, innan Apple åtgärdade samma sårbarhet i den näst äldsta Mac OS-versionen, det vill säga Mac OS 10.15 (Catalina). Då hade Apple redan börjat se sårbarheten utnyttjas i attacker.
Under årets första kvartal var Mac OS 12 (Monterey) den senaste släppta Mac OS-versionen. Den 31:a mars åtgärdade Apple två nolldagarssårbarheter i Mac OS 12 (CVE-2022-22674 och CVE-2022-22675). Det var alltså sårbarheter som Apple åtgärdade efter att de upptäckte att sårbarheterna utnyttjades i pågående attacker. Trots det väntade Apple i en och en halv månad med att åtgärda samma sårbarheter i de två näst äldsta versionerna av Mac OS (Mac OS 11 och Mac OS 10.15).
Den 17:e augusti var det dags igen. Apple åtgärdade då två nya nolldagarssårbarheter i Mac OS 12 (CVE-2022-32893 och CVE-2022-32894). Dagen efter åtgärdade de den ena sårbarheten i de båda äldre, men fortfarande underhållna, operativsystemsversionerna. Den andra sårbarheten dröjde det dock till den tolfte september innan Apple åtgärdade i Mac OS 11.
Huruvida den andra sårbarheten påverkar Mac OS 10.15 är oklart. Apple har inte gått ut med någon information om detta, och Mac OS 10.15 har inte fått några uppdateringar sedan den 12:e september. Detta tyder på att Apple har slutat underhålla Mac OS 10.15 (Catalina). Tyvärr varnar inte Apple berörda användare om det avslutade underhållet. Till skillnad från Microsoft har Apple inte heller någon officiell information om när de pensionerar äldre operativsystem.
Apple bekräftar att de inte underhåller äldre versioner lika bra
I samband med släppet av årets Mac OS-version (Mac OS 13, Ventura) kompletterade Apple informationen om hur de underhåller äldre Mac OS-versioner. De lade då till följande stycke (arkivlänk).
Because of dependency on architecture and system changes to any current version of macOS (for example, macOS 13), not all known security issues are addressed in previous versions (for example, macOS 12).
Apple meddelar alltså att de inte tänker åtgärda samtliga kända säkerhetsproblem i äldre versioner av Mac OS, såsom fjolårets Mac OS 12. I kombination med de fördröjda uppdateringarna till äldre Mac OS-versioner måste vi därför ändra våra rekommendationer.
Nya rekommendationer kring Mac OS
Vår tidigare rekommendation var att köra någon av de tre senaste versionerna av Mac OS. Det är för närvarande:
- Mac OS 13 (Ventura)
- Mac OS 12 (Monterey)
- Mac OS 11 (Big Sur).
Vår nya rekommendation är att uppgradera till den allra senaste versionen så fort som praktiskt möjligt. Än så länge har vi inte sett några indikationer på att Apple övergår till försämrat underhåll av den näst senaste Mac OS-versionen samma dag som de släpper en ny Mac OS-version. Det ger andrum för att kunna vänta några månader för att säkerställa kompatibilitet och undvika stabilitetsproblem.
Datorer som inte ens kan uppgraderas till Mac OS 11 (Big Sur) har nått sitt slut. Privatpersoner som har sådana datorer bör byta ut dem. Organisationer ska antingen byta ut datorerna eller dokumentera ett undantag med de förenade riskerna (se CIS v8 2.2, ISO 27002:2022 8.19 eller NIST CSF 1.1 ID.AM-2).
Denna nyhet diskuteras även i avsnitt 170 av Bli säker-podden.
Uppdatering 2022-11-06: Här är en kompletterande lista med Mac-modellerna som påverkas.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.