Apple julkaisee iOS:n ja iPadOS 17.0.1:n tietoturvakorjauksilla sekä macOS 13.6 Venturan ja watchOS 10.0.1:n

Apple julkaisi torstaina iOS & iPadOS 17.0.1:n useimmille iPhone- ja iPad-laitteille sekä iOS 17.0.2:n iPhone 15- ja 15 Pro -kokoonpanoille, mikä merkitsee ensimmäisiä virallisia päivityksiä Applen merkittävään ohjelmistopäivitykseen vuodelle 2023 sen jälkeen kun se julkaisi tämän ensimmäisen kerran . viime maanantaina.

Kun päivitys ladataan mihin tahansa yhteensopivaan iPhoneen tai iPadiin, OTA-ohjelmiston päivitysmekanismi mainitsee vain ”virheenkorjauksia ja tärkeitä tietoturvapäivityksiä iPhone 15- ja iPhone 15 Pro -malleille, mutta kaivaa syvemmälle Applen ”Tietoja iOS 17.0.1:n ja iPadOS 17.0.1” -tukiasiakirjassa havaitsemme, että joihinkin suuriin tietoturvaongelmiin on puututtu:

Ydin

Saatavilla: iPhone XS ja uudemmat, iPad Pro 12,9 tuuman 2. sukupolvi ja uudemmat, iPad Pro 10,5 tuuman, iPad Pro 11 tuuman 1. sukupolvi ja uudemmat, iPad Air 3. sukupolvet ja uudemmat, iPad 6. sukupolvet ja uudemmat, iPad mini 5. sukupolvi ja myöhemmin

Vaikutus: Paikallinen hyökkääjä saattaa pystyä korottamaan oikeuksiaan. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää iOS 16.7:ää edeltävissä iOS-versioissa.

Kuvaus: Ongelma on ratkaistu parannetulla tarkistuksella.

CVE-2023-41992: Bill Marczak The Citizen Labista Toronton yliopiston Munk Schoolista ja Maddie Stone Googlen uhkaanalyysiryhmästä

Turvallisuus

Saatavilla: iPhone XS ja uudemmat, iPad Pro 12,9 tuuman 2. sukupolvi ja uudemmat, iPad Pro 10,5 tuuman, iPad Pro 11 tuuman 1. sukupolvi ja uudemmat, iPad Air 3. sukupolvet ja uudemmat, iPad 6. sukupolvet ja uudemmat, iPad mini 5. sukupolvi ja myöhemmin

Vaikutus: Haitallinen sovellus saattaa pystyä ohittamaan allekirjoituksen tarkistuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää iOS 16.7:ää edeltävissä iOS-versioissa.

Kuvaus: Varmenteen vahvistusongelma on korjattu.

CVE-2023-41991: Bill Marczak The Citizen Labista Toronton yliopiston Munk Schoolista ja Maddie Stone Googlen uhkaanalyysiryhmästä

WebKit

Saatavilla: iPhone XS ja uudemmat, iPad Pro 12,9 tuuman 2. sukupolvi ja uudemmat, iPad Pro 10,5 tuuman, iPad Pro 11 tuuman 1. sukupolvi ja uudemmat, iPad Air 3. sukupolvet ja uudemmat, iPad 6. sukupolvet ja uudemmat, iPad mini 5. sukupolvi ja myöhemmin

Vaikutus: Verkkosisällön käsittely voi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää iOS 16.7:ää edeltävissä iOS-versioissa.

Kuvaus: Ongelma on ratkaistu parannetulla tarkistuksella.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak The Citizen Labista Toronton yliopiston Munk Schoolista ja Maddie Stone Googlen uhkaanalyysiryhmästä

Korjaukset näyttävät olevan ytimen CVE-2023-41992-nimiselle haavoittuvuudelle, jonka Bill Marczak The Citizen Labista löysi ja joka olisi kyennyt tarjoamaan korotettuja käyttöoikeuksia iOS- ja iPadOS-versioille ennen versiota 16.7, tietoturvahaavoittuvuus nimeltä CVE-2023. -41991, jonka Marczak löysi myös ja joka on saattanut mahdollistaa sen, että sovellukset voivat ohittaa sallitun allekirjoituksen, ja lopuksi WebKit-haavoittuvuuden nimeltä CVE-2023-41993, jonka myös Marczak löysi ja joka on saattanut mahdollistaa mielivaltaisen koodin suorittamisen verkkosisällön käsittelyyn.

Näiden suojauskorjausten merkityksen vuoksi useimpien iPhone- ja iPad-käyttäjien suositellaan lataamaan ja asentamaan uusin päivitys valitsemalla Asetukset → Yleiset → Ohjelmistopäivitys. Siellä he voivat seurata näytöllä näkyviä ohjeita asentaakseen ohjelmistopäivityksen, jonka pitäisi kestää vain muutama minuutti kohtuullisen nopealla Internet-yhteydellä.

Mutta jos et ole tavallinen iPhonen tai iPadin käyttäjä ja haluat sen sijaan olla riippuvainen kolmannen osapuolen hakkeroista, Dopamine jailbreakin johtava kehittäjä Lars Fr ö der (@opa334dev) ehdottaa , että nämä käyttäjät välttävät iOS- ja iPadOS 16.7- ja 17.0-versioita. 1, koska allekirjoituksen validoinnin ohitusvirhe näyttää luonteeltaan samanlaiselta kuin CoreTrust-virhe, joka teki pysyvän allekirjoituksen TrollStoren avulla mahdolliseksi.

Fr ö der tietysti varoitti, että jää nähtäväksi, onko bugi todella niin voimakas vai ei, mutta on parempi olla varma kuin katua, kunnes toisin vahvistetaan. Skeptinen pysyminen, kunnes jotain tapahtuu, on luultavasti turvallista.

Kun mahdolliset iPhone 15- , 15 Plus-, 15 Pro- ja 15 Pro Max -käyttäjät alkavat vastaanottaa matkapuhelimiaan huomisesta alkaen, iOS 17.0.2 on heti saatavilla samankaltaisilla muutoksilla mobiilikäyttöjärjestelmään.

Näihin päivityksiin liittyivät myös vastaavat päivitykset, kuten macOS 13.6 Ventura Mac-tietokoneille ja watchOS 10.0.1 Apple Watchesille.

Oletko jo päivittänyt iOS- tai iPadOS-versioon 17.0.1? Muista kertoa meille miksi tai miksi ei alla olevassa kommenttiosassa.