iOS 17.1 a fost lansat de catre compania Apple pentru iPhone si iPad in cursul serii trecute, noua versiune a sistemului de operare fiind disponibila chiar acum pentru utilizatorii din intreaga lume, iar ea vine cu o serie de rezolvari pentru probleme care au dat multe batai de cap.
iOS 17.1 rezolva 18 probleme grave de securitate, despre care foarte multi dintre utilizatorii Apple ar trebui sa stie, iar asta pentru ca ele pot fi exploatate pentru a ne fura datele din telefoane, sau chiar banii, deci este bine sa fim foarte vigilenti.
18 probleme grave de securitate rezolvate de iOS 17.1
Contacte
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate avea acces la datele sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate cu redactarea îmbunătățită a datelor private pentru intrările de jurnal.
CVE-2023-41072: Wojciech Regula de la SecuRing (wojciechregula.blog) și Csaba Fitzl (@theevilbit) de la ofensive Security
CVE-2023-42857: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
CVE-2023-40449: Tomi Tokics (@totomikics) din iTomsn0w
Find My
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate citi informații sensibile despre locație
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a cache-urilor.
CVE-2023-40413: Adam M.
ImageIO
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: Procesarea unei imagini poate duce la dezvăluirea memoriei de proces
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate fi capabilă să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
CVE-2023-40423: un cercetător anonim
Kernel
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: un atacator care a realizat deja execuția codului kernelului poate fi capabil să ocolească atenuările memoriei nucleului
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
CVE-2023-42849: Linus Henze de la Pinauten GmbH (pinauten.de)
Ciorne de e-mail
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: Ascunde e-mailul meu poate fi dezactivat în mod neașteptat
Descriere: O problemă inconsecventă a interfeței cu utilizatorul a fost rezolvată cu o gestionare îmbunătățită a stării.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: un dispozitiv poate fi urmărit pasiv de adresa sa MAC Wi-Fi
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42846: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. @mysk_co
Cheile de acces
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: un atacator poate avea acces la cheile de acces fără autentificare
Descriere: a fost rezolvată o problemă de logică cu verificări îmbunătățite.
CVE-2023-42847: un cercetător anonim
Fotografii
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: fotografiile din albumul de fotografii ascunse pot fi vizualizate fără autentificare
Descriere: a fost rezolvată o problemă de autentificare cu o gestionare îmbunătățită a stării.
CVE-2023-42845: Bistrit Dahla
Pro Res
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate fi capabilă să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong de la 360 Vulnerability Research Institute
Siri
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: un atacator cu acces fizic poate folosi Siri pentru a accesa datele sensibile ale utilizatorului
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2023-41982: Bistrit Dahla
CVE-2023-41997: Bistrit Dahla
CVE-2023-41988: Bistrit Dahla
Bara de stare
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: un dispozitiv poate să nu se blocheze în mod persistent
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a interfeței de utilizare.
CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, un cercetător anonim, Lorenzo Cavallaro și Harry Lewandowski
Vreme
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: o aplicație poate avea acces la datele sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate cu redactarea îmbunătățită a datelor private pentru intrările de jurnal.
CVE-2023-41254: Cristian Dinca de la Liceul National de Informatica „Tudor Vianu”, Romania
WebKit
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: procesarea conținutului web poate duce la execuția de cod arbitrară
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) din Cross Republic
WebKit
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: procesarea conținutului web poate duce la execuția de cod arbitrară
Descriere: a fost soluționată o problemă de utilizare după ce nu a fost gratuită prin gestionarea îmbunătățită a memoriei.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: procesarea conținutului web poate duce la execuția de cod arbitrară
Descriere: a fost rezolvată o problemă de logică cu verificări îmbunătățite.
WebKit Bugzilla: 260173
CVE-2023-42852: un cercetător anonim
Model de proces WebKit
Disponibil pentru: iPhone XS și versiuni ulterioare, iPad Pro de 12,9 inchi de a doua generație și mai târziu, iPad Pro de 10,5 inchi, iPad Pro de 11 inci de prima generație și mai târziu, iPad Air de a treia generație și mai târziu, iPad de a șasea generație și mai târziu și iPad mini a 5-a generație și mai târziu
Impact: Procesarea conținutului web poate duce la refuzul serviciului
Descriere: problema a fost rezolvată cu o gestionare îmbunătățită a memoriei.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Recunoaștere suplimentară
libarchive
Dorim să mulțumim lui Bahaa Naamneh pentru asistență.
libxml2
Dorim să mulțumim OSS-Fuzz, Ned Williamson de la Google Project Zero pentru asistență.
Manager de putere
Dorim să mulțumim lui Xia0o0o0o (@Nyaaaaa_ovo) de la Universitatea din California, San Diego pentru asistență.
VoiceOver
Dorim să mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal India pentru asistență.
WebKit
Dorim să mulțumim unui cercetător anonim pentru asistență.
