Apple brengt iOS & iPadOS 17.0.1 uit met beveiligingspatches, samen met macOS 13.6 Ventura & watchOS 10.0.1

Apple heeft donderdag iOS & iPadOS 17.0.1 uitgebracht voor de meeste iPhones en iPads, samen met iOS 17.0.2 voor de iPhone 15 en 15 Pro-series, wat de eerste officiële updates markeert van Apple’s belangrijke software-upgrade voor het jaar 2023 sinds deze voor het eerst werd gelanceerd afgelopen maandag.

Bij het laden van de update op een compatibele iPhone of iPad vermeldt het OTA-software-updatemechanisme alleen maar “bugfixes en belangrijke beveiligingsupdates voor iPhone 15- en iPhone 15 Pro-modellen, maar gaat dieper in op Apple’s ‘Over de beveiligingsinhoud van iOS 17.0.1 en iPadOS 17.0.1” -ondersteuningsdocument constateren we dat een aantal grote beveiligingsproblemen zijn opgelost:

Kernel

Beschikbaar voor: iPhone XS en later, iPad Pro 12,9-inch 2e generatie en later, iPad Pro 10,5-inch, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 6e generatie en later, iPad mini 5e generatie en later

Impact: een lokale aanvaller kan mogelijk zijn bevoegdheden vergroten. Apple is op de hoogte van een rapport dat dit probleem mogelijk actief is misbruikt tegen versies van iOS vóór iOS 16.7.

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-41992: Bill Marczak van The Citizen Lab aan de Munk School van de Universiteit van Toronto en Maddie Stone van de Threat Analysis Group van Google

Beveiliging

Beschikbaar voor: iPhone XS en later, iPad Pro 12,9-inch 2e generatie en later, iPad Pro 10,5-inch, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 6e generatie en later, iPad mini 5e generatie en later

Impact: een kwaadaardige app kan mogelijk de handtekeningvalidatie omzeilen. Apple is op de hoogte van een rapport dat dit probleem mogelijk actief is misbruikt tegen versies van iOS vóór iOS 16.7.

Beschrijving: er is een probleem met de certificaatvalidatie opgelost.

CVE-2023-41991: Bill Marczak van The Citizen Lab aan de Munk School van de Universiteit van Toronto en Maddie Stone van de Threat Analysis Group van Google

WebKit

Beschikbaar voor: iPhone XS en later, iPad Pro 12,9-inch 2e generatie en later, iPad Pro 10,5-inch, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 6e generatie en later, iPad mini 5e generatie en later

Impact: het verwerken van webinhoud kan leiden tot uitvoering van willekeurige code. Apple is op de hoogte van een rapport dat dit probleem mogelijk actief is misbruikt tegen versies van iOS vóór iOS 16.7.

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak van The Citizen Lab aan de Munk School van de Universiteit van Toronto en Maddie Stone van Google’s Threat Analysis Group

De patches lijken te zijn voor een kernelkwetsbaarheid genaamd CVE-2023-41992, ontdekt door Bill Marczak van The Citizen Lab en die in staat zou zijn geweest om verhoogde rechten te bieden op versies van iOS en iPadOS vóór 16.7, een beveiligingskwetsbaarheid genaamd CVE-2023 -41991, ook ontdekt door Marczak en die het mogelijk heeft gemaakt voor apps om de toegestane handtekening te omzeilen, en ten slotte een WebKit-kwetsbaarheid genaamd CVE-2023-41993, die ook werd ontdekt door Marczak, die het uitvoeren van willekeurige code mogelijk heeft gemaakt door middel van verwerking van webinhoud.

Vanwege het belang van deze beveiligingspatches wordt de meeste iPhone- en iPad-gebruikers aangeraden de nieuwste update te downloaden en te installeren via Instellingen → Algemeen → Software-update op hun apparaat. Daar kunnen ze de aanwijzingen op het scherm volgen om de software-update te installeren, wat bij een internetverbinding met gemiddelde snelheid slechts enkele minuten duurt.

Maar als je geen gewone iPhone- of iPad-gebruiker bent, en je liever afhankelijk bent van hacks van derden, dan suggereert Lars Frö der (@opa334dev), hoofdontwikkelaar van de Dopamine- jailbreak , dat die gebruikers iOS & iPadOS 16.7 en 17.0 vermijden. 1, omdat de bug voor het omzeilen van de handtekeningvalidatie qua aard vergelijkbaar lijkt met de CoreTrust-bug die permanente ondertekening met TrollStore mogelijk maakte.

Fröder waarschuwde natuurlijk dat het nog maar de vraag is of de bug echt zo krachtig is of niet, maar het is beter om het zekere voor het onzekere te nemen totdat het tegendeel wordt bevestigd . Sceptisch blijven totdat er iets gebeurt, is waarschijnlijk een veilige gok.

Wanneer potentiële iPhone 15- , 15 Plus-, 15 Pro- en 15 Pro Max-gebruikers vanaf morgen hun handsets beginnen te ontvangen, zal iOS 17.0.2 direct uit de doos beschikbaar zijn met soortgelijke wijzigingen aan het mobiele besturingssysteem.

Deze updates werden ook vergezeld door soortgelijke updates zoals macOS 13.6 Ventura voor Mac-computers en watchOS 10.0.1 voor Apple Watches.

Heb je al geüpdatet naar iOS of iPadOS 17.0.1? Laat ons zeker weten waarom wel of niet in de opmerkingen hieronder.