Apple publie iOS et iPadOS 17.0.1 avec des correctifs de sécurité, ainsi que macOS 13.6 Ventura et watchOS 10.0.1

Apple a publié jeudi iOS et iPadOS 17.0.1 pour la plupart des iPhones et iPads ainsi qu’iOS 17.0.2 pour les gammes iPhone 15 et 15 Pro, marquant les premières mises à jour officielles de l’importante mise à niveau logicielle d’Apple pour l’année 2023 depuis le lancement de cette version . lundi dernier.

Lors du chargement de la mise à jour sur n’importe quel iPhone ou iPad compatible, le mécanisme de mise à jour du logiciel OTA cite simplement « des corrections de bugs et des mises à jour de sécurité importantes pour les modèles iPhone 15 et iPhone 15 Pro, mais en approfondissant les informations d’Apple sur le contenu de sécurité d’iOS 17.0.1 et Dans le document de support iPadOS 17.0.1″ , nous constatons que certains problèmes de sécurité majeurs ont été résolus :

Noyau

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, iPad mini 5e génération et plus tard

Impact : un attaquant local peut être en mesure d’élever ses privilèges. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.

Description : le problème a été résolu par des contrôles améliorés.

CVE-2023-41992 : Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google

Sécurité

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, iPad mini 5e génération et plus tard

Impact : une application malveillante peut être capable de contourner la validation de signature. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.

Description : un problème de validation de certificat a été résolu.

CVE-2023-41991 : Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google

Kit Web

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, iPad mini 5e génération et plus tard

Impact : Le traitement du contenu Web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.

Description : le problème a été résolu par des contrôles améliorés.

WebKit Bugzilla : 261544
CVE-2023-41993 : Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google

Les correctifs semblent concerner une vulnérabilité du noyau baptisée CVE-2023-41992, découverte par Bill Marczak de The Citizen Lab qui aurait été capable de fournir des privilèges élevés sur les versions d’iOS et d’iPadOS antérieures à 16.7, une vulnérabilité de sécurité baptisée CVE-2023. -41991, également découverte par Marczak, qui aurait pu permettre aux applications de contourner la signature autorisée, et enfin, une vulnérabilité WebKit baptisée CVE-2023-41993, qui a également été découverte par Marczak, qui aurait pu permettre l’exécution de code arbitraire via traitement du contenu Web.

En raison de l’importance de ces correctifs de sécurité , il est recommandé à la plupart des utilisateurs d’iPhone et d’iPad de télécharger et d’installer la dernière mise à jour en visitant Paramètres → Général → Mise à jour logicielle sur leur appareil. Là, ils peuvent suivre les invites à l’écran pour installer la mise à jour du logiciel, ce qui ne devrait prendre que quelques minutes avec une connexion Internet à vitesse modérée.

Mais si vous n’êtes pas un utilisateur ordinaire d’iPhone ou d’iPad et que vous préférez dépendre de hacks tiers, alors le développeur principal du jailbreak Dopamine , Lars Frö der (@opa334dev), suggère à ces utilisateurs d’éviter iOS et iPadOS 16.7 et 17.0. 1, car le bug de contournement de la validation de signature semble de nature similaire au bug de CoreTrust qui a rendu possible la signature permanente avec TrollStore .

Frö der a bien sûr averti qu’il reste à voir si le bug est vraiment aussi puissant ou non, mais il vaut mieux prévenir que guérir jusqu’à confirmation du contraire. Rester sceptique jusqu’à ce que quelque chose se produise est probablement une valeur sûre.

Lorsque les utilisateurs potentiels d’iPhone 15 , 15 Plus, 15 Pro et 15 Pro Max commenceront à recevoir leurs combinés à partir de demain, iOS 17.0.2 sera disponible dès la sortie de la boîte avec des modifications similaires au système d’exploitation mobile.

Ces mises à jour ont également été rejointes par des mises à jour similaires telles que macOS 13.6 Ventura pour les ordinateurs Mac et watchOS 10.0.1 pour les montres Apple.

Avez-vous déjà mis à jour vers iOS ou iPadOS 17.0.1 ? Assurez-vous de nous faire savoir pourquoi ou pourquoi pas dans la section commentaires ci-dessous.