A Apple lançou sua primeira grande atualização para todos os usuários desde o lançamento do iOS 17 em setembro. O iOS 17.1 vem com uma série de patches de segurança e nenhum deles foi identificado como explorado antes das correções.
Como de costume, a Apple compartilhou os detalhes das últimas correções de vulnerabilidade em sua página de segurança.
Os patches variam desde a correção de bugs de segurança em Contatos, Find My, Kernel, Passkeys, Photos, Siri, Weather, WebKit e muito mais.
Felizmente, não houve relatos conhecidos de qualquer uma das falhas de segurança sendo exploradas ativamente antes do lançamento das correções pela Apple.
Para obter mais detalhes sobre as novidades dos lançamentos em termos de recursos, confira nossa cobertura completa:
Aqui estão as notas completas da correção de segurança para iOS 17.1:
Contatos
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com uma melhor redação de dados privados para entradas de registro.
CVE-2023-41072: Wojciech Regula da SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) da Segurança Ofensiva
CVE-2023-42857: Noah Roskin-Frazee e Prof. J. (Laboratório ZeroClicks.ai)
CoreAnimação
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode causar uma negação de serviço
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w
Encontre meu
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido através de um melhor processamento de caches.
CVE-2023-40413: Adam M.
ImagemIO
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de uma imagem pode resultar na divulgação da memória do processo
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
CVE-2023-40416: JZ
Família IOTextEncryption
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode executar código arbitrário com privilégios de kernel
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
CVE-2023-40423: um pesquisador anônimo
Núcleo
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um invasor que já tenha executado o código do kernel pode conseguir contornar as mitigações de memória do kernel
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
CVE-2023-42849: Linus Henze da Pinauten GmbH (pinauten.de)
Rascunhos de correio
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: Hide My Email pode ser desativado inesperadamente
Descrição: um problema inconsistente na interface do usuário foi resolvido com um gerenciamento de estado aprimorado.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um dispositivo pode ser rastreado passivamente pelo seu endereço MAC Wi-Fi
Descrição: este problema foi resolvido através da remoção do código vulnerável.
CVE-2023-42846: Talal Haj Bakry e Tommy Mysk da Mysk Inc.
Chaves de acesso
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um invasor pode conseguir acessar chaves de acesso sem autenticação
Descrição: um problema lógico foi resolvido com verificações aprimoradas.
CVE-2023-42847: um pesquisador anônimo
Fotos
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação
Descrição: um problema de autenticação foi resolvido com um gerenciamento de estado aprimorado.
CVE-2023-42845: Bistrit Dahla
Pro Res.
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode executar código arbitrário com privilégios de kernel
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Siri
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido restringindo as opções oferecidas em um dispositivo bloqueado.
CVE-2023-41982: Bistrit Dahla
CVE-2023-41997: Bistrit Dahla
CVE-2023-41988: Bistrit Dahla
Barra de status
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um dispositivo pode falhar persistentemente ao bloquear
Descrição: o problema foi resolvido com um melhor processamento da interface do usuário.
CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, um pesquisador anônimo, Lorenzo Cavallaro e Harry Lewandowski
Clima
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: um aplicativo pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com uma melhor redação de dados privados para entradas de registro.
CVE-2023-41254: Cristian Dinca da Escola Superior Nacional de Ciência da Computação “Tudor Vianu”, Romênia
Kit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de códigos
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
Web Kit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) da República Cruzada
Kit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de códigos
Descrição: um problema de uso após liberação foi resolvido com gerenciamento de memória aprimorado.
Web Kit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
Kit Web
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da Web pode levar à execução arbitrária de códigos
Descrição: um problema lógico foi resolvido com verificações aprimoradas.
Web Kit Bugzilla: 260173
CVE-2023-42852: um pesquisador anônimo
Modelo de processo WebKit
Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas de 2ª geração e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas de 1ª geração e posterior, iPad Air de 3ª geração e posterior, iPad de 6ª geração e posterior e iPad mini 5ª geração e posteriores
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido através da melhoria do processamento da memória.
Web Kit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Reconhecimento adicional
arquivo de biblioteca
Gostaríamos de agradecer a Bahaa Naamneh pela sua assistência.
libxml2
Gostaríamos de agradecer ao OSS-Fuzz e Ned Williamson do Google Project Zero por sua assistência.
Gerenciador de energia
Gostaríamos de agradecer a Xia0o0o0o (@Nyaaaaa_ovo) da Universidade da Califórnia, San Diego, por sua assistência.
VozOver
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College Of Technology Bhopal Índia por sua assistência.
Kit Web
Gostaríamos de agradecer a um pesquisador anônimo por sua assistência.
As informações sobre produtos não fabricados pela Apple ou sites independentes não controlados ou testados pela Apple são fornecidas sem recomendação ou endosso. A Apple não assume nenhuma responsabilidade em relação à seleção, desempenho ou uso de sites ou produtos de terceiros. A Apple não faz representações quanto à precisão ou confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter informações adicionais.
Data de publicação: 25 de outubro de 2023