Apple ha llançat iOS 17.5 per a l'iPhone, la cinquena gran actualització d'iOS 17 que arriba a les portes de la presentació d'iOS 18 a la WWDC que se celebrarà a començaments del mes de juny. Es tracta d'una actualització amb moltes novetats, entre elles la possibilitat de descarregar apps a l'iPhone directament des del web sense passar per cap botiga, una cosa coneguda com a sideloading.

Però iOS 17.5 no només arriba amb novetats, també soluciona importants errors de seguretat. Segons ha revelat la pròpia Apple, fins a 15 errors greus s'han solucionat en aquesta actualització. Molts d'aquests problemes han pogut ser explotats activament.

Per a la protecció dels nostres clients, Apple no revela, discuteix ni confirma problemes de seguretat fins que s'hagi produït una investigació i hi hagi pegats o versions disponibles. Les versions recents s'enumeren a la pàgina de versions de seguretat d'Apple.

Els 15 problemes de seguretat que soluciona iOS 17.5

Tots aquests problemes de seguretat han afectat els iPhone XS i posterior, iPad Pro de 12,9 polzades 2a generació i posterior, iPad Pro de 10,5 polzades, iPad Pro d'11 polzades de primera generació i posterior, iPad Air de 3a generació i posterior, iPad de 6a generació i posterior, i iPad mini de 5a generació i posterior. I a partir d'iOS 17.5 queden solucionats:

AppleAVD

  • Impacte: una aplicació pot ser capaç d'executar codi arbitrari amb privilegis del nucli
  • Descripció: El problema es va solucionar amb un millor maneig de la memòria.
  • CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

  • Impacte: un atacant pot ser capaç d'accedir a les dades de l'usuari
  • Descripció: Es va solucionar un problema lògic amb comprovacions millorades.
  • CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

  • Impacte: una aplicació pot ser capaç de revelar la memòria del nucli
  • Descripció: El problema es va solucionar amb un millor maneig de la memòria.
  • CVE-2024-27841: un investigador anònim

Cercar

  • Impacte: una aplicació maliciosa pot ser capaç de determinar la ubicació actual d'un usuari
  • Descripció: Es va solucionar un problema de privadesa movent dades confidencials a una ubicació més segura.
  • CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) i Shai Mishali (@freak4pc)

Nucli

  • Impacte: Un atacant pot causar una terminació inesperada de l'aplicació o l'execució de codi arbitrari
  • Descripció: El problema es va solucionar amb un millor maneig de la memòria.
  • CVE-2024-27818: pattern-f (@pattern_F_) de Ant Security Light-Year Lab

Libsystem

  • Impacte: una aplicació pot ser capaç d'accedir a les dades d'usuari protegides
  • Descripció: Es va solucionar un problema de permisos eliminant el codi vulnerable i afegint comprovacions addicionals.
  • CVE-2023-42893: un investigador anònim

Mapes

  • Impacte: una aplicació pot ser capaç de llegir informació d'ubicació sensible
  • Descripció: Es va solucionar un problema de gestió de rutes amb una validació millorada.
  • CVE-2024-27810: LFY@secsys de la Universitat de Fudan

MarketplaceKit

  • Impacte: Una pàgina web maliciosament dissenyada pot ser capaç de distribuir un script que rastreja els usuaris en altres pàgines web
  • Descripció: Es va solucionar un problema de privadesa amb la millora de la gestió de la identificació del client per als mercats d'aplicacions alternatives.
  • CVE-2024-27852: Talal Haj Bakry i Tommy Mysk de Mysk Inc. (@mysk_co)

Notes

  • Impacte: Un atacant amb accés físic a un dispositiu iOS pot accedir a les notes des de la pantalla de bloqueig
  • Descripció: Aquest problema es va abordar a través d'una millor gestió de l'estat.
  • CVE-2024-27835: Andr.Ess

RemoteViewServices

  • Impacte: un atacant pot ser capaç d'accedir a les dades de l'usuari
  • Descripció: Es va solucionar un problema lògic amb comprovacions millorades.
  • CVE-2024-27816: Mickey Jin (@patch1t)

Captures de pantalla

  • Impacte: un atacant amb accés físic pot ser capaç de compartir elements des de la pantalla de bloqueig
  • Descripció: Es va solucionar un problema de permisos amb una validació millorada.
  • CVE-2024-27803: un investigador anònim

Dreceres

  • Impacte: un accés directe pot generar dades confidencials de l'usuari sense consentiment
  • Descripció: Es va solucionar un problema de gestió de rutes amb una validació millorada.
  • CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) de Kandji

Serveis de sincronització

  • Impacte: una aplicació pot ser capaç d’eludir les preferències de privadesa
  • Descripció: Aquest problema es va solucionar amb comprovacions millorades
  • CVE-2024-27847: Mickey Jin (@patch1t)

Control per veu

  • Impacte: un atacant pot ser capaç d'elevar els privilegis
  • Descripció: El problema es va solucionar amb comprovacions millorades.
  • CVE-2024-27796: ajajfxhj

WebKit

  • Impacte: Un atacant amb capacitat de lectura i escriptura arbitrària pot ser capaç d'eludir l'autenticació del punter
  • Descripció: El problema es va solucionar amb comprovacions millorades.
  • WebKit Bugzilla: 272750
  • CVE-2024-27834: Manfred Paul (@_manfp) treballant amb la Iniciativa de Dia Zero de Trend Micro

Et recomanats instal·lar com més aviat millor iOS 17.5 al teu iPhone per solucionar tots aquests errors, igual que iPadOS 17.5 al teu iPad. A més de les millores, estaràs més protegit.