Через три дня после запуска iOS 17 Apple выпустила iOS 17.0.1 с тремя важными исправлениями безопасности. Примечательно, что Apple заявляет, что ей известно, что все исправленные уязвимости активно используются.
Вскоре после выпуска iOS 17.0.1 вместе с iPadOS 17.0.1, watchOS 10.0.1 и другими с «важными исправлениями ошибок и обновлениями безопасности» Apple поделилась подробностями уязвимости на своей странице безопасности.
Снова исправлены 3 активно эксплуатируемые ошибки
Apple утверждает, что каждая из трех уязвимостей была впервые исправлена в iOS 16.7. Однако в двух из них в iOS 17.0.1 реализованы «улучшенные проверки», а в третьем обнаружена «проблема с проверкой сертификата», решенная для защиты от ранее обнаруженных ошибок.
Одна из них была ошибкой ядра, другая обходила проблему проверки подписи, а последняя была уязвимостью WebKit, которая позволяла выполнять произвольный код.
Хотя лучше всего обновиться до новой версии, чтобы повысить безопасность, имейте в виду, что вам необходимо установить iOS 17.0.1 на свой iPhone 15/15 Pro перед восстановлением из резервной копии с помощью этого программного обеспечения.
Вот CVE для каждого исправленного недостатка:
Ядро
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го. поколение и позже
Воздействие. Локальный злоумышленник может получить возможность повысить свои привилегии. Apple известно о сообщении о том, что эта проблема могла активно использоваться в версиях iOS до iOS 16.7.
Описание: Проблема устранена путем улучшенных проверок.
CVE-2023-41992: Билл Марчак из Citizen Lab в Школе Мунка Университета Торонто и Мэдди Стоун из группы анализа угроз Google.
Безопасность
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го. поколение и позже
Воздействие. Вредоносное приложение может обойти проверку подписи. Apple известно о сообщении о том, что эта проблема могла активно использоваться в версиях iOS до iOS 16.7.
Описание. Устранена проблема с проверкой сертификата.
CVE-2023-41991: Билл Марчак из Citizen Lab в Школе Мунка при Университете Торонто и Мэдди Стоун из группы анализа угроз Google.
Вебкит
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го. поколение и позже
Воздействие. Обработка веб-контента может привести к выполнению произвольного кода. Apple известно о сообщении о том, что эта проблема могла активно использоваться в версиях iOS до iOS 16.7.
Описание: Проблема устранена путем улучшенных проверок.
Ошибка WebKit: 261544
CVE-2023-41993: Билл Марчак из Citizen Lab в Школе Мунка при Университете Торонто и Мэдди Стоун из группы анализа угроз Google.
