A Apple lança iOS e iPadOS 17.0.1 com patches de segurança, junto com macOS 13.6 Ventura e watchOS 10.0.1

A Apple lançou na quinta-feira iOS e iPadOS 17.0.1 para a maioria dos iPhones e iPads junto com iOS 17.0.2 para as linhas iPhone 15 e 15 Pro, marcando as primeiras atualizações oficiais para a atualização significativa de software da Apple para o ano de 2023 desde o lançamento deste pela primeira vez . segunda-feira passada.

Ao carregar a atualização em qualquer iPhone ou iPad compatível, o mecanismo de atualização de software OTA apenas cita “correções de bugs e atualizações de segurança importantes para os modelos iPhone 15 e iPhone 15 Pro, mas se aprofundando no artigo da Apple ‘Sobre o conteúdo de segurança do iOS 17.0.1 e Documento de suporte do iPadOS 17.0.1” , descobrimos que algumas questões importantes de segurança foram abordadas:

Núcleo

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior

Impacto: um invasor local pode elevar seus privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.

Descrição: o problema foi resolvido com verificações aprimoradas.

CVE-2023-41992: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google

Segurança

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior

Impacto: um aplicativo malicioso pode ignorar a validação de assinatura. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.

Descrição: um problema de validação de certificado foi resolvido.

CVE-2023-41991: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google

Kit Web

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior

Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de código. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.

Descrição: o problema foi resolvido com verificações aprimoradas.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google

Os patches parecem ser para uma vulnerabilidade do kernel chamada CVE-2023-41992, descoberta por Bill Marczak do Citizen Lab que seria capaz de fornecer privilégios elevados em versões do iOS e iPadOS anteriores a 16.7, uma vulnerabilidade de segurança chamada CVE-2023 -41991, também descoberta por Marczak, que pode ter possibilitado que aplicativos contornassem a assinatura permitida e, finalmente, uma vulnerabilidade do WebKit chamada CVE-2023-41993, que também foi descoberta por Marczak, que pode ter permitido a execução arbitrária de código por meio de processamento de conteúdo da web.

Devido à importância desses patches de segurança , recomenda-se que a maioria dos usuários de iPhone e iPad baixe e instale a atualização mais recente visitando Configurações → Geral → Atualização de software em seus dispositivos. Lá, eles podem seguir as instruções na tela para instalar a atualização de software, o que deve levar apenas alguns minutos com uma conexão de internet de velocidade moderada.

Mas se você não é um usuário comum de iPhone ou iPad e gosta de depender de hacks de terceiros, o desenvolvedor líder do jailbreak da Dopamine , Lars Frö der (@ opa334dev), sugere que esses usuários evitem iOS e iPadOS 16.7 e 17.0. 1, já que o bug de desvio de validação de assinatura parece de natureza semelhante ao bug CoreTrust que tornou possível a assinatura permanente com TrollStore .

Fröder , é claro, alertou que ainda não se sabe se o bug é realmente tão poderoso ou não, mas é melhor prevenir do que remediar até que se confirme o contrário. Permanecer cético até que algo aconteça é provavelmente uma aposta segura.

Quando os possíveis usuários do iPhone 15 , 15 Plus, 15 Pro e 15 Pro Max começarem a receber seus aparelhos a partir de amanhã, o iOS 17.0.2 estará disponível imediatamente com alterações semelhantes no sistema operacional móvel.

Essas atualizações também foram acompanhadas por atualizações semelhantes, como macOS 13.6 Ventura para computadores Mac e watchOS 10.0.1 para Apple Watches.

Você já atualizou para iOS ou iPadOS 17.0.1? Deixe-nos saber por que ou por que não na seção de comentários abaixo.