Apple rilascia iOS e iPadOS 17.0.1 con patch di sicurezza, insieme a macOS 13.6 Ventura e watchOS 10.0.1

Giovedì Apple ha rilasciato iOS e iPadOS 17.0.1 per la maggior parte degli iPhone e iPad insieme a iOS 17.0.2 per le linee iPhone 15 e 15 Pro, segnando i primi aggiornamenti ufficiali al significativo aggiornamento software di Apple per l’anno 2023 da quando è stato lanciato per la prima volta . lunedì scorso.

Dopo aver caricato l’aggiornamento su qualsiasi iPhone o iPad compatibile, il meccanismo di aggiornamento del software OTA cita semplicemente “correzioni di bug e importanti aggiornamenti di sicurezza per i modelli iPhone 15 e iPhone 15 Pro, ma scava più a fondo nelle informazioni di Apple sui contenuti di sicurezza di iOS 17.0.1 e documento di supporto iPadOS 17.0.1″ , troviamo che alcuni importanti problemi di sicurezza sono stati risolti:

Nocciolo

Disponibile per: iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi, iPad mini 5a generazione e successive

Impatto: un utente malintenzionato locale potrebbe essere in grado di elevare i propri privilegi. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.7.

Descrizione: il problema è stato risolto migliorando i controlli.

CVE-2023-41992: Bill Marczak di The Citizen Lab presso la Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group di Google

Sicurezza

Disponibile per: iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi, iPad mini 5a generazione e successive

Impatto: un’app dannosa potrebbe riuscire a ignorare la convalida della firma. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.7.

Descrizione: è stato risolto un problema di convalida del certificato.

CVE-2023-41991: Bill Marczak di The Citizen Lab presso la Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group di Google

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi, iPad mini 5a generazione e successive

Impatto: l’elaborazione dei contenuti Web può comportare l’esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente contro versioni di iOS precedenti a iOS 16.7.

Descrizione: il problema è stato risolto migliorando i controlli.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab presso la Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group di Google

Le patch sembrano riguardare una vulnerabilità del kernel denominata CVE-2023-41992, scoperta da Bill Marczak di The Citizen Lab che sarebbe stata in grado di fornire privilegi elevati sulle versioni di iOS e iPadOS precedenti alla 16.7, una vulnerabilità di sicurezza denominata CVE-2023 -41991, scoperta anch’essa da Marczak che potrebbe aver consentito alle app di aggirare la firma consentita e, infine, una vulnerabilità WebKit denominata CVE-2023-41993, scoperta anch’essa da Marczak, che potrebbe aver consentito l’esecuzione di codice arbitrario tramite elaborazione dei contenuti web.

A causa dell’importanza di queste patch di sicurezza , alla maggior parte degli utenti iPhone e iPad si consiglia di scaricare e installare l’ultimo aggiornamento visitando Impostazioni → Generali → Aggiornamento software sul proprio dispositivo. Lì potranno seguire le istruzioni visualizzate sullo schermo per installare l’aggiornamento software, che dovrebbe richiedere solo pochi minuti con una connessione Internet a velocità moderata.

Ma se non sei un normale utente di iPhone o iPad e preferisci dipendere da hack di terze parti, lo sviluppatore principale del jailbreak di Dopamine Lars Frö der (@opa334dev) suggerisce a quegli utenti di evitare iOS e iPadOS 16.7 e 17.0. 1, poiché il bug di bypass della convalida della firma sembra di natura simile al bug CoreTrust che ha reso possibile la firma permanente con TrollStore .

Frö der ovviamente ha avvertito che resta da vedere se il bug è davvero così potente o meno, ma è meglio prevenire che curare fino a quando non verrà confermato il contrario. Rimanere scettici finché non succede qualcosa è probabilmente una scommessa sicura.

Quando i potenziali utenti di iPhone 15 , 15 Plus, 15 Pro e 15 Pro Max inizieranno a ricevere i loro telefoni a partire da domani, iOS 17.0.2 sarà immediatamente disponibile con modifiche simili al sistema operativo mobile.

A questi aggiornamenti si sono aggiunti anche aggiornamenti simili come macOS 13.6 Ventura per computer Mac e watchOS 10.0.1 per Apple Watch.

Hai già effettuato l’aggiornamento a iOS o iPadOS 17.0.1? Assicurati di farci sapere perché o perché no nella sezione commenti in basso.