Apple wypuszcza iOS i iPadOS 17.0.1 z poprawkami bezpieczeństwa, a także macOS 13.6 Ventura i watchOS 10.0.1

W czwartek firma Apple wypuściła iOS i iPadOS 17.0.1 dla większości iPhone’ów i iPadów, a także iOS 17.0.2 dla iPhone’ów 15 i 15 Pro, co oznacza pierwsze oficjalne aktualizacje znaczącej aktualizacji oprogramowania Apple na rok 2023 od chwili premiery tego rozwiązania w ubiegły poniedziałek.

Po załadowaniu aktualizacji na dowolny kompatybilny iPhone lub iPad mechanizm aktualizacji oprogramowania OTA jedynie cytuje „poprawki błędów i ważne aktualizacje zabezpieczeń dla modeli iPhone’a 15 i iPhone’a 15 Pro, ale zagłębiając się w artykuł Apple „Informacje o zawartości zabezpieczającej w iOS 17.0.1 i iOS 17.0.1 i W dokumencie pomocy technicznej iPadOS 17.0.1” stwierdzamy, że rozwiązano kilka głównych problemów związanych z bezpieczeństwem:

Jądro

Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później

Skutek: lokalny atakujący może podnieść swoje uprawnienia. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.

Opis: problem naprawiono przez ulepszone kontrole.

CVE-2023-41992: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google

Bezpieczeństwo

Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później

Zagrożenie: złośliwa aplikacja może ominąć weryfikację podpisu. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.

Opis: rozwiązano problem z walidacją certyfikatu.

CVE-2023-41991: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google

WebKita

Dostępne dla: iPhone XS i nowsze, iPad Pro 12,9 cala 2. generacji i nowsze, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji i nowsze, iPad Air 3. generacji i nowsze, iPad 6. generacji i nowsze, iPad mini 5. pokolenia i później

Zagrożenie: przetwarzanie treści internetowych może prowadzić do wykonania dowolnego kodu. Firma Apple wie o zgłoszeniu, że ten problem mógł być aktywnie wykorzystywany w wersjach systemu iOS wcześniejszych niż 16.7.

Opis: problem naprawiono przez ulepszone kontrole.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak z The Citizen Lab w szkole Munk School na Uniwersytecie w Toronto i Maddie Stone z grupy ds. analizy zagrożeń firmy Google

Wydaje się, że łaty usuwają lukę w jądrze nazwaną CVE-2023-41992, odkrytą przez Billa Marczaka z The Citizen Lab, która byłaby w stanie zapewnić podwyższone uprawnienia w wersjach iOS i iPadOS wcześniejszych niż 16.7, oraz lukę w zabezpieczeniach nazwaną CVE-2023 -41991, również odkryta przez Marczaka, która mogła umożliwić aplikacjom ominięcie dozwolonego podpisu, i wreszcie luka w zabezpieczeniach WebKit nazwana CVE-2023-41993, która również została odkryta przez Marczaka, która mogła umożliwić wykonanie dowolnego kodu za pomocą przetwarzanie treści internetowych.

Ze względu na znaczenie tych poprawek zabezpieczeń zaleca się, aby większość użytkowników iPhone’a i iPada pobrała i zainstalowała najnowszą aktualizację, odwiedzając Ustawienia → Ogólne → Aktualizacja oprogramowania na swoim urządzeniu. Tam mogą postępować zgodnie z instrukcjami wyświetlanymi na ekranie, aby zainstalować aktualizację oprogramowania, co powinno zająć tylko kilka minut przy połączeniu internetowym o średniej szybkości.

Jeśli jednak nie jesteś zwykłym użytkownikiem iPhone’a lub iPada i wolisz polegać na hackach innych firm, główny programista jailbreak Dopamine Lars Fr ö der (@opa334dev) sugeruje , aby ci użytkownicy unikali iOS i iPadOS 16.7 i 17.0. 1, ponieważ błąd obejścia sprawdzania poprawności podpisu wydaje się podobny w naturze do błędu CoreTrust, który umożliwił podpisywanie stałe w TrollStore .

Fr ö der oczywiście ostrzegł, że dopiero okaże się, czy błąd jest rzeczywiście aż tak potężny, czy nie, ale lepiej zachować ostrożność niż żałować, dopóki nie zostanie potwierdzone, że jest inaczej. Zachowanie sceptycyzmu do czasu, aż coś się wydarzy, jest prawdopodobnie bezpiecznym rozwiązaniem.

Kiedy potencjalni użytkownicy iPhone’a 15 , 15 Plus, 15 Pro i 15 Pro Max zaczną otrzymywać swoje telefony od jutra, iOS 17.0.2 będzie dostępny od razu po wyjęciu z pudełka z podobnymi zmianami w mobilnym systemie operacyjnym.

Do tych aktualizacji dołączyły także podobne aktualizacje, takie jak macOS 13.6 Ventura dla komputerów Mac i watchOS 10.0.1 dla Apple Watches.

Czy dokonałeś już aktualizacji do iOS lub iPadOS 17.0.1? Pamiętaj, aby dać nam znać, dlaczego lub dlaczego nie, w sekcji komentarzy poniżej.