Apple izlaiž iOS un iPadOS 17.0.1 ar drošības ielāpiem, kā arī macOS 13.6 Ventura un watchOS 10.0.1

Apple ceturtdien izlaida iOS un iPadOS 17.0.1 lielākajai daļai iPhone un iPad, kā arī iOS 17.0.2 iPhone 15 un 15 Pro sērijām, atzīmējot pirmos oficiālos atjauninājumus Apple nozīmīgajam programmatūras jauninājumam 2023. gadā kopš tā pirmās palaišanas . pagājušo pirmdien.

Ielādējot atjauninājumu jebkurā saderīgā iPhone vai iPad ierīcē, OTA programmatūras atjaunināšanas mehānisms tikai atsaucas uz “kļūdu labojumiem un svarīgiem drošības atjauninājumiem iPhone 15 un iPhone 15 Pro modeļiem, bet padziļināti iedziļinoties Apple sadaļā “Par iOS 17.0.1 un drošības saturu”. iPadOS 17.0.1” atbalsta dokumentā mēs atklājam, ka ir novērstas dažas galvenās drošības problēmas:

Kodols

Pieejams: iPhone XS un jaunākiem tālruņiem, iPad Pro 12,9 collu 2. paaudzei un jaunākiem, iPad Pro 10,5 collu, iPad Pro 11 collu 1. paaudzes un jaunākiem, iPad Air 3. paaudzes un jaunākiem, iPad 6. paaudzes un jaunākiem, iPad mini 5. paaudze un vēlāk

Ietekme: vietējais uzbrucējs var paaugstināt savas privilēģijas. Apple ir informēts par ziņojumu, ka šī problēma, iespējams, tika aktīvi izmantota pret iOS versijām pirms iOS 16.7.

Apraksts: problēma tika novērsta, uzlabojot pārbaudes.

CVE-2023-41992: Bils Marčaks no Toronto Universitātes Munka skolas Pilsoņu laboratorijas un Madija Stouna no Google draudu analīzes grupas

Drošība

Pieejams: iPhone XS un jaunākiem tālruņiem, iPad Pro 12,9 collu 2. paaudzei un jaunākiem, iPad Pro 10,5 collu, iPad Pro 11 collu 1. paaudzes un jaunākiem, iPad Air 3. paaudzes un jaunākiem, iPad 6. paaudzes un jaunākiem, iPad mini 5. paaudze un vēlāk

Ietekme: ļaunprātīga lietotne var apiet paraksta validāciju. Apple ir informēts par ziņojumu, ka šī problēma, iespējams, tika aktīvi izmantota pret iOS versijām pirms iOS 16.7.

Apraksts: tika novērsta sertifikāta validācijas problēma.

CVE-2023-41991: Bils Marčaks no Toronto Universitātes Munka skolas Pilsoņu laboratorijas un Madija Stouna no Google draudu analīzes grupas

WebKit

Pieejams: iPhone XS un jaunākiem tālruņiem, iPad Pro 12,9 collu 2. paaudzei un jaunākiem, iPad Pro 10,5 collu, iPad Pro 11 collu 1. paaudzes un jaunākiem, iPad Air 3. paaudzes un jaunākiem, iPad 6. paaudzes un jaunākiem, iPad mini 5. paaudze un vēlāk

Ietekme: tīmekļa satura apstrāde var izraisīt patvaļīgu koda izpildi. Apple ir informēts par ziņojumu, ka šī problēma, iespējams, tika aktīvi izmantota pret iOS versijām pirms iOS 16.7.

Apraksts: problēma tika novērsta, uzlabojot pārbaudes.

WebKit Bugzilla: 261544
CVE-2023-41993: Bils Marčaks no Toronto Universitātes Munka skolas Pilsoņu laboratorijas un Madija Stouna no Google draudu analīzes grupas

Šķiet, ka ielāpi ir paredzēti kodola ievainojamībai ar nosaukumu CVE-2023-41992, ko atklājis Bils Marczaks no The Citizen Lab un kas būtu spējis nodrošināt paaugstinātas privilēģijas iOS un iPadOS versijām pirms 16.7 — drošības ievainojamība, kas nodēvēta par CVE-2023. -41991, ko atklāja arī Marczak, kas, iespējams, ļāva lietotnēm apiet atļauto parakstu, un, visbeidzot, WebKit ievainojamība ar nosaukumu CVE-2023-41993, ko arī atklāja Marczak, kas, iespējams, ļāva veikt patvaļīgu kodu, izmantojot tīmekļa satura apstrāde.

Šo drošības ielāpu nozīmīguma dēļ lielākajai daļai iPhone un iPad lietotāju ieteicams lejupielādēt un instalēt jaunāko atjauninājumu, savā ierīcē apmeklējot Iestatījumi → Vispārīgi → Programmatūras atjaunināšana. Tur viņi var sekot ekrānā redzamajiem norādījumiem, lai instalētu programmatūras atjauninājumu, kam vajadzētu aizņemt tikai dažas minūtes, izmantojot vidēja ātruma interneta savienojumu.

Bet, ja jūs neesat parasts iPhone vai iPad lietotājs un vēlaties paļauties uz trešo pušu uzlaušanu, Dopamine jailbreak vadošais izstrādātājs Lars Fr ö der (@opa334dev) iesaka šiem lietotājiem izvairīties no iOS un iPadOS 16.7 un 17.0. 1, jo paraksta validācijas apiešanas kļūda pēc būtības šķiet līdzīga CoreTrust kļūdai, kas padarīja iespējamu pastāvīgu parakstīšanu ar TrollStore .

Fr ö der, protams, brīdināja, ka atliek noskaidrot, vai kļūda patiešām ir tik spēcīga vai nē, taču labāk ir būt drošam nekā žēlot, kamēr nav apstiprināts citādi. Droši vien ir palikt skeptiski, kamēr kaut kas nenotiek.

Kad potenciālie iPhone 15 , 15 Plus, 15 Pro un 15 Pro Max lietotāji no rītdienas sāks saņemt savus tālruņus, iOS 17.0.2 būs pieejama uzreiz ar līdzīgām izmaiņām mobilajā operētājsistēmā.

Šiem atjauninājumiem pievienojās arī līdzīgi atjauninājumi, piemēram, MacOS 13.6 Ventura Mac datoriem un watchOS 10.0.1 Apple Watches.

Vai jau esat atjauninājis uz iOS vai iPadOS 17.0.1? Noteikti paziņojiet mums, kāpēc vai kāpēc ne, komentāru sadaļā zemāk.