Apple frigiver iOS & iPadOS 17.0.1 med sikkerhedsrettelser sammen med macOS 13.6 Ventura & watchOS 10.0.1

Apple udgav torsdag iOS & iPadOS 17.0.1 til de fleste iPhones og iPads sammen med iOS 17.0.2 til iPhone 15 og 15 Pro-serierne, hvilket markerer de første officielle opdateringer til Apples betydelige softwareopgradering for året 2023, siden det første gang lancerede denne sidste mandag.

Når opdateringen indlæses på enhver kompatibel iPhone eller iPad, citerer OTA-softwareopdateringsmekanismen blot “fejlrettelser og vigtige sikkerhedsopdateringer til iPhone 15 og iPhone 15 Pro-modeller, men graver dybere ned i Apples ‘Om sikkerhedsindholdet i iOS 17.0.1 og iPadOS 17.0.1” supportdokument , finder vi ud af, at nogle større sikkerhedsproblemer er blevet løst:

Kernel

Tilgængelig til: iPhone XS og nyere, iPad Pro 12,9″ 2. generation og nyere, iPad Pro 10,5″, iPad Pro 11″ 1. generation og nyere, iPad Air 3. generation og nyere, iPad 6. generation og nyere, iPad mini 5. generation og senere

Effekt: En lokal angriber kan muligvis hæve deres privilegier. Apple er bekendt med en rapport om, at dette problem kan være blevet aktivt udnyttet mod versioner af iOS før iOS 16.7.

Beskrivelse: Problemet blev løst med forbedrede kontroller.

CVE-2023-41992: Bill Marczak fra The Citizen Lab på University of Toronto’s Munk School og Maddie Stone fra Googles Threat Analysis Group

Sikkerhed

Tilgængelig til: iPhone XS og nyere, iPad Pro 12,9″ 2. generation og nyere, iPad Pro 10,5″, iPad Pro 11″ 1. generation og nyere, iPad Air 3. generation og nyere, iPad 6. generation og nyere, iPad mini 5. generation og senere

Virkning: En ondsindet app kan muligvis omgå signaturvalidering. Apple er bekendt med en rapport om, at dette problem kan være blevet aktivt udnyttet mod versioner af iOS før iOS 16.7.

Beskrivelse: Et certifikatvalideringsproblem blev løst.

CVE-2023-41991: Bill Marczak fra The Citizen Lab på University of Toronto’s Munk School og Maddie Stone fra Googles Threat Analysis Group

WebKit

Tilgængelig til: iPhone XS og nyere, iPad Pro 12,9″ 2. generation og nyere, iPad Pro 10,5″, iPad Pro 11″ 1. generation og nyere, iPad Air 3. generation og nyere, iPad 6. generation og nyere, iPad mini 5. generation og senere

Virkning: Behandling af webindhold kan føre til vilkårlig kodeudførelse. Apple er bekendt med en rapport om, at dette problem kan være blevet aktivt udnyttet mod versioner af iOS før iOS 16.7.

Beskrivelse: Problemet blev løst med forbedrede kontroller.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak fra The Citizen Lab på University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group

Patcherne ser ud til at være til en kernesårbarhed kaldet CVE-2023-41992, opdaget af Bill Marczak fra The Citizen Lab, der ville have været i stand til at give forhøjede rettigheder på versioner af iOS og iPadOS før 16.7, en sikkerhedssårbarhed kaldet CVE-2023 -41991, også opdaget af Marczak, der kan have gjort det muligt for apps at omgå tilladte signaturer, og endelig en WebKit-sårbarhed kaldet CVE-2023-41993, som også blev opdaget af Marczak, der kan have aktiveret vilkårlig kodeudførelse ved hjælp af behandling af webindhold.

På grund af betydningen af ​​disse sikkerhedsrettelser anbefales de fleste iPhone- og iPad-brugere at downloade og installere den seneste opdatering ved at gå til Indstillinger → Generelt → Softwareopdatering på deres enhed. Der kan de følge anvisningerne på skærmen for at installere softwareopdateringen, som kun bør tage et par minutter med en internetforbindelse med moderat hastighed.

Men hvis du ikke er en almindelig iPhone- eller iPad-bruger, og du i stedet kan lide at være afhængig af tredjepartshack, så foreslår Dopamine jailbreak-hovedudvikler Lars Fr ö der (@opa334dev) , at disse brugere undgår iOS & iPadOS 16.7 og 17.0. 1, da signaturvalideringsbypass-fejlen ligner CoreTrust-fejlen, der gjorde perma-signering med TrollStore muligt.

Fr ö der advarede selvfølgelig om, at det stadig skal ses, om fejlen virkelig er så kraftig eller ej, men det er bedre at være sikker end undskyld, indtil andet er bekræftet. At forblive skeptisk, indtil der sker noget, er sandsynligvis et sikkert bud.

Når potentielle iPhone 15 , 15 Plus, 15 Pro og 15 Pro Max-brugere begynder at modtage deres håndsæt fra i morgen, vil iOS 17.0.2 være tilgængelig lige ud af æsken med lignende ændringer til mobiloperativsystemet.

Disse opdateringer fik også følgeskab af lignende opdateringer såsom macOS 13.6 Ventura til Mac-computere og watchOS 10.0.1 til Apple Watches.

Har du opdateret til iOS eller iPadOS 17.0.1 endnu? Sørg for at fortælle os hvorfor eller hvorfor ikke i kommentarfeltet nedenfor.