Três dias após o lançamento do iOS 17, a Apple lançou o iOS 17.0.1 com três patches de segurança importantes. Notavelmente, a Apple diz estar ciente de que todas as vulnerabilidades corrigidas foram relatadas como exploradas ativamente.
Pouco depois de lançar o iOS 17.0.1 junto com o iPadOS 17.0.1, watchOS 10.0.1 e mais com “importantes correções de bugs e atualizações de segurança”, a Apple compartilhou os detalhes da vulnerabilidade em sua página de segurança.
3 falhas exploradas ativamente corrigidas novamente
A Apple diz que cada uma das três falhas foi corrigida pela primeira vez com o iOS 16.7. No entanto, com dois deles, o iOS 17.0.1 traz “verificações aprimoradas”, enquanto o terceiro viu “problema de validação de certificado” resolvido para proteção contra bugs descobertos anteriormente.
Uma era uma falha no kernel, outra contornava o problema de validação de assinatura e a última era uma vulnerabilidade do WebKit que permitia a execução arbitrária de código.
Embora seja melhor atualizar para a nova versão para obter segurança aprimorada, lembre-se de que você precisará instalar o iOS 17.0.1 em seu iPhone 15/15 Pro antes de restaurar a partir de um backup com este software.
Aqui estão os CVEs para cada falha corrigida:
Núcleo
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior
Impacto: um invasor local pode elevar seus privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: o problema foi resolvido com verificações aprimoradas.
CVE-2023-41992: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google
Segurança
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior
Impacto: um aplicativo malicioso pode ignorar a validação de assinatura. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: um problema de validação de certificado foi resolvido.
CVE-2023-41991: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google
Kit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior, iPad mini de 5ª geração geração e posterior
Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de código. A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 16.7.
Descrição: o problema foi resolvido com verificações aprimoradas.
Web Kit Bugzilla: 261544
CVE-2023-41993: Bill Marczak do Citizen Lab da Munk School da Universidade de Toronto e Maddie Stone do Grupo de Análise de Ameaças do Google
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
