| 21 сентября 2023 г. — 10:56 PT
Через три дня после запуска iOS 17, Apple выпустила iOS 17.0.1 с тремя важными исправлениями безопасности. Примечательно, что Apple заявляет, что ей известно, что все исправленные уязвимости были использованы в реальных атаках.
Вскоре после выпуска iOS 17.0.1 вместе с iPadOS 17.0.1, watchOS 10.0.1 и другими с «важными исправлениями ошибок и обновлениями безопасности», Apple поделилась деталями об уязвимостях на своей странице безопасности.
Исправлены 3 уязвимости, используемые в атаках
Одна из них — уязвимость в ядре, другая — обход проверки подписи, а последняя — уязвимость WebKit, позволяющая выполнять произвольный код.
Apple утверждает, что каждая из трех уязвимостей использовалась в атаках до версии 16.7. Для исправления iOS 17.0.1 предлагает «улучшенные проверки», а в третьем случае была решена «проблема проверки сертификатов» для защиты от ранее обнаруженных ошибок.
Хотя лучше всего обновиться до новой версии для улучшения безопасности, имейте в виду, что вам потребуется установить iOS 17.0.1 на ваш iPhone 15/15 Pro перед восстановлением из резервной копии с этим программным обеспечением.
Вот CVE для каждой исправленной уязвимости:
Ядро
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюйма 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее
Воздействие: Локальный злоумышленник может повысить свои привилегии. Apple осведомлена об отчетах о том, что эта проблема могла активно использоваться против версий iOS до iOS 16.7.
Описание: Проблема была решена с помощью улучшенных проверок.
CVE-2023-41992: Билл Марчак из The Citizen Lab в Школе Манка Университета Торонто и Мэдди Стоун из Группы анализа угроз Google
Безопасность
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюйма 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее
Воздействие: Вредоносное приложение может обойти проверку подписи. Apple осведомлена об отчетах о том, что эта проблема могла активно использоваться против версий iOS до iOS 16.7.
Описание: Была решена проблема проверки сертификатов.
CVE-2023-41991: Билл Марчак из The Citizen Lab в Школе Манка Университета Торонто и Мэдди Стоун из Группы анализа угроз Google
WebKit
Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюйма 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, iPad mini 5-го поколения и новее
Воздействие: Обработка веб-контента может привести к выполнению произвольного кода. Apple осведомлена об отчетах о том, что эта проблема могла активно использоваться против версий iOS до iOS 16.7.
Описание: Проблема была решена с помощью улучшенных проверок.
WebKit Bugzilla: 261544
CVE-2023-41993: Билл Марчак из The Citizen Lab в Школе Манка Университета Торонто и Мэдди Стоун из Группы анализа угроз Google