Três dias em seguida o lançamento do iOS 17, a Apple lançou o iOS 17.0.1 com três patches de segurança importantes. Notavelmente, a Apple diz estar consciente de que todas as vulnerabilidades corrigidas foram relatadas porquê exploradas ativamente.
Pouco depois de lançar o iOS 17.0.1 junto com o iPadOS 17.0.1, watchOS 10.0.1 e mais com “importantes correções de bugs e atualizações de segurança”, a Apple compartilhou os detalhes da vulnerabilidade em sua página de segurança.
3 falhas exploradas ativamente corrigidas
Uma era uma irregularidade no kernel, outra contornava o problema de validação de assinatura e a última era uma vulnerabilidade do WebKit que permitia a realização arbitrária de código.
A Apple diz que cada uma das três falhas foi relatada porquê explorada ativamente antes de 16.7. Para correções, o iOS 17.0.1 traz “verificações aprimoradas”, enquanto o terceiro viu “problema de validação de certificado” resolvido para proteção contra bugs descobertos anteriormente.
Embora seja melhor atualizar para a novidade versão para obter segurança aprimorada, lembre-se de que você precisará instalar o iOS 17.0.1 em seu iPhone 15/15 Pro antes de restaurar a partir de um backup com levante software.
Cá estão os CVEs para cada irregularidade corrigida:
Núcleo
Disponível para: iPhone XS e ulterior, iPad Pro de 12,9 polegadas de 2ª geração e ulterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e ulterior, iPad Air de 3ª geração e ulterior, iPad de 6ª geração e ulterior, iPad mini de 5ª geração geração e ulterior
Impacto: um invasor lugar pode vangloriar seus privilégios. A Apple está consciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: o problema foi resolvido com verificações aprimoradas.
CVE-2023-41992: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Estudo de Ameaças do Google
Segurança
Disponível para: iPhone XS e ulterior, iPad Pro de 12,9 polegadas de 2ª geração e ulterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e ulterior, iPad Air de 3ª geração e ulterior, iPad de 6ª geração e ulterior, iPad mini de 5ª geração geração e ulterior
Impacto: um aplicativo malicioso pode ignorar a validação de assinatura. A Apple está consciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: um problema de validação de certificado foi resolvido.
CVE-2023-41991: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Estudo de Ameaças do Google
Kit Web
Disponível para: iPhone XS e ulterior, iPad Pro de 12,9 polegadas de 2ª geração e ulterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e ulterior, iPad Air de 3ª geração e ulterior, iPad de 6ª geração e ulterior, iPad mini de 5ª geração geração e ulterior
Impacto: o processamento de teor da Web pode levar à realização arbitrária de código. A Apple está consciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: o problema foi resolvido com verificações aprimoradas.
Erros do WebKit: 261544
CVE-2023-41993: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Estudo de Ameaças do Google
