iOS 17.2 содержит 10 важных исправлений безопасности

Michael Potuck | Понедельник, 11 декабря, 2023, 11:08.

Michael Potuck | 11 декабря 2023 г. — 10:50 PT

apple zero-day exploit spyware security iOS macOS patches fixes

Apple выпустила iOS 17.2 для всех пользователей сегодня, включая новое приложение «Журнал», возможность записи пространственного видео, верификацию ключей контактов в iMessage и многое другое. Помимо этих новых функций, обновление содержит 10 важных исправлений безопасности для Find My, ядра, Safari, WebKit и Siri.

Страница обновлений безопасности Apple содержит все подробности об устранении уязвимостей, связанных с iOS 17.2. К счастью, ни одна из этих уязвимостей не была известна как активно используемая.

Тем не менее, важно установить это обновление, поскольку оно исправляет такие проблемы, как:

Ошибка в Find My, когда «приложение может читать конфиденциальную информацию о местоположении»
Уязвимость ядра, когда «приложение может выйти из своей песочницы»
Ошибка в Safari, когда «вкладки приватного просмотра могут быть доступны без аутентификации»
Уязвимость Siri, когда «злоумышленник с физическим доступом может использовать Siri для доступа к конфиденциальным данным пользователя»

Перейдите в «Настройки» на ваших устройствах Apple, чтобы узнать, доступны ли последние версии. Apple также выпустила macOS 14.2, watchOS 10.2 и tvOS 17.2. Большинство этих исправлений также доступны для старых устройств с iOS 16.7.3.

Полные примечания к выпуску обновлений безопасности iOS 17.2 и iPadOS 17.2:

Учетные записи

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма (2-го поколения) и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюйма (1-го поколения) и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-го поколения и новее

Влияние: приложение может получить доступ к конфиденциальным пользовательским данным

Описание: проблема конфиденциальности была решена путем улучшения маскирования частных данных в записях журнала.

CVE-2023-42919: Kirin (@Pwnrin)

AVEVideoEncoder

Влияние: приложение может раскрывать память ядра

Описание: эта проблема была решена путем улучшения маскирования конфиденциальной информации.

CVE-2023-42884: анонимный исследователь

ExtensionKit

Влияние: приложение может получить доступ к конфиденциальным пользовательским данным

CVE-2023-42927: Noah Roskin-Frazee и проф. J. (ZeroClicks.ai Lab)

Find My

Влияние: приложение может читать конфиденциальную информацию о местоположении

Описание: эта проблема была решена путем улучшения маскирования конфиденциальной информации.

CVE-2023-42922: Wojciech Regula из SecuRing (wojciechregula.blog)

ImageIO

Влияние: обработка изображения может привести к выполнению произвольного кода

Описание: проблема была решена путем улучшения управления памятью.

CVE-2023-42898: Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM и Junsung Lee

Ядро

Влияние: приложение может выйти из своей песочницы

Описание: проблема была решена путем улучшения управления памятью.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) из Synacktiv (@Synacktiv)

Приватный просмотр Safari

Влияние: вкладки приватного просмотра могут быть доступны без аутентификации

Описание: эта проблема была решена путем улучшения управления состоянием.

CVE-2023-42923: ARJUN S D

Siri

Влияние: злоумышленник с физическим доступом может использовать Siri для доступа к конфиденциальным данным пользователя

Описание: проблема была решена путем улучшения проверок.

CVE-2023-42897: Andrew Goldberg из McCombs School of Business, The University of Texas at Austin (linkedin.com/andrew-goldberg-/)

WebKit

Влияние: обработка веб-контента может привести к выполнению произвольного кода

Описание: проблема была решена путем улучшения управления памятью.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Влияние: обработка изображения может привести к отказу в обслуживании

Описание: проблема была решена путем улучшения управления памятью.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team