Apple выпустила iOS 17.0.3 для iPhone, исправляя ошибку, вызывающую перегрев iPhone 15 Pro и iPhone 15 Pro Max. Обновление также включает исправления багов и улучшения безопасности.
В бюллетени по безопасности компания отмечает:
Apple известно о том, что проблема могла активно эксплуатироваться в версиях iOS до iOS 16.6.
Уязвимость «нулевого дня» с идентификатором CVE-2023-42824 связана с дефектом в ядре XNU и позволяет локальным злоумышленникам повысить привилегии на устройствах iPhone и iPad.
Согласно заявлениям Apple, проблема устранена в iOS 17.0.3 и iPadOS 17.0.3 с помощью улучшенных проверок. При этом компания не сообщает подробности обнаружения уязвимости.
Проблеме подвержено большое количество устройств, включая:
- iPhone XS и более поздние версии;
- iPad Pro 12,9-дюймовый 2-го поколения и новее;
- iPad Pro 10,5-дюймовый;
- iPad Pro 11-дюймовый 1-го поколения и новее;
- iPad Air 3-го поколения и новее;
- iPad 6-го поколения и новее;
- iPad mini 5-го поколения и новее.
Apple устранила ещё одну проблему безопасности с идентификатором CVE-2023-5217. Это уязвимость переполнения буфера кучи при кодировании VP8 в библиотеке с открытым исходным кодом libvpx, которая могла привести к выполнению произвольного кода.
Ранее ошибка libvpx была исправлена компанией Google в браузере Chrome и компанией Microsoft в Edge, Teams и Skype.
Уязвимость CVE-2023-5217 была обнаружена участником группы анализа угроз Google Threat Analysis Group (TAG) Клеманом Лецином. Данная группа часто находит уязвимости «нулевого дня», используемые в поддерживаемых правительством целевых шпионских атаках, направленных на особо важных лиц.
Исправлено уже 17 уязвимостей «нулевого дня» в этом году
CVE-2023-42824 стала 17-ой по счету уязвимостью, исправленной Apple в 2023 году.
Недавно Apple также исправила три уязвимости нулевого дня (CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993), о которых сообщили исследователи Citizen Lab и Google TAG и которые использовались в шпионских атаках для установки шпионского ПО Predator компании Cytrox.
Citizen Lab раскрыла еще две уязвимости «нулевого дня» (CVE-2023-41061 и CVE-2023-41064), исправленных Apple в прошлом месяце, которые используются как часть цепочки эксплойтов «с нулевым кликом» (получившей название BLASTPASS) для заражения полностью пропатченных iPhone шпионским ПО Pegasus от NSO Group.
С января 2023 года компания устранила в общей сложности 17 уязвимостей, которые эксплуатировались в атаках на iPhone и Mac, включая:
- Две уязвимости нулевого дня (CVE-2023-37450 и CVE-2023-38606) в июле
- Три уязвимости нулевого дня (CVE-2023-32434, CVE-2023-32435 и CVE-2023-32439) в июне.
- Три уязвимости нулевого дня (CVE-2023-32409, CVE-2023-28204 и CVE-2023-32373) в мае.
- Две уязвимости нулевого дня (CVE-2023-28206 и CVE-2023-28205) в апреле.
- Еще одну уязвимость нулевого дня WebKit (CVE-2023-23529) в феврале.
Текущее обновление iOS 17.0.3 также устраняет известную проблему, вызывающую перегрев iPhone в iOS 17.0.2 и ниже.
Apple сообщает:
Эта версия содержит важные обновления системы безопасности и исправления ошибок. В том числе исправлена причина, по которой iPhone мог нагреваться сильнее ожидаемого.
Номер сборки релиза iOS 17.0.3 – 21A360. Обновиться можно, перейдя в приложение "Настройки", выбрав "Основные", а затем "Обновление ПО". iOS 17.0.3 доступна для любого iPhone, поддерживающего iOS 17.
Обновления программ, что нового
• Официальный анонс Honor Magic 8 Pro Air: рекордная емкость батареи в корпусе 6,1 мм
• Смартфон Redmi Turbo 5 Max получит батарею емкостью 9000 мАч и процессор Dimensity 9500s
• В Яндекс Картах появилась функция обмена геопозицией в реальном времени
• Обзор обновлений Samsung 12-18 января: патч для S25 Ultra и расширение тестов One UI 8.5 на бюджетные модели
• OpenAI раскрыла детали рекламы в ChatGPT: как будут выглядеть спонсируемые ответы и ограничения на показ объявлений
• OnePlus 13 получил январский патч безопасности и функцию прямой подачи питания в обход батареи