Apple iOS 10.3 - czy należy uaktualniać i co zawiera?
Firma Apple opublikowała najnowszą i najprawdopodobniej ostatnią aktualizację dotyczącą obsługi technicznej swojego mobilnego systemu operacyjnego, iOS 10.3. Wydanie to poważna wersja, która obejmuje zupełnie nowy system plików. Tylko z tego powodu zalecamy wykonanie kopii zapasowej przed instalacją. Oprócz ulepszenia systemu plików - który przenosi wszystkie dane ze starego HFS + do APFS (przeczytaj nasz poprzedni wpis, jeśli zastanawiasz się "Co to jest APFS?") - iOS 10.3 zawiera również ulepszoną obsługę wyszukanych bezprzewodowych słuchawek firmy Apple, dzięki czemu łatwiej je znaleźć, korzystając z nowej funkcji funkcji Znajdź mój lot . Aktualizacja zawiera dużą kolekcję za kulisami zmian, które w większości dotyczą twórców aplikacji. Na przykład sklep App Store pozwoli programistom po raz pierwszy odpowiedzieć na opinie klientów. Fani krykieta mogą spodziewać się wykorzystania Siri do sprawdzania wyników sportowych i statystyk dla Indian Premier League i International Cricket Council.
Ostatnia aktualizacja systemu iOS 10 pojawiła się wraz z aktualizacją 10.2.1 w styczniu 2017 r .; poprzedzona wersją 10.2 w grudniu 2016 r. i 10.1 w październiku 2016 r. Znaczące elementy systemu operacyjnego zostały zmodyfikowane w wersji 10.3, na przykład w ustawieniach profilu Apple ID Profile, które mają teraz bardziej szczegółowy wykaz magazynu iCloud. Nowa wersja będzie również informować użytkowników o przestarzałych aplikacjach, które nie są już zgodne z systemem operacyjnym. Inteligentne domy również czerpią radość z możliwości programowania przełączników światła. Do tego dochodzą dodatki Sirikit, takie jak zapłata za rachunek, status i planowanie przyszłych podróży.
Czy należy uaktualnić iPada lub iPhone'a do iOS 10.3?
Teraz, na część, na którą wszyscy czekaliście: czy powinniście ulepszyć? Tak, jest to aktualizacja konserwacyjna i wszyscy wiemy, jakie to ważne, szczególnie dla bezpieczeństwa.
Ale….
Użytkownicy systemu iOS muszą podchodzić do tego z pewną ostrożnością ze względu na podstawowe zmiany, takie jak aktualizacja systemu plików. Aby przełączyć urządzenie na APFS, urządzenie z systemem iOS musi w zasadzie samo się wyczyścić i ponownie sformatować. Wszystko to dzieje się za kulisami, ale ryzyko utraty danych jest wyższe w przypadku tej aktualizacji.
Aktualizacja do iOS 10.3 jest dość mocna, waży około 611 MB. Użytkownicy mogą pobrać najnowszą aktualizację systemu iOS, uruchamiając Ustawienia> Ogólne> Aktualizacja oprogramowania. Pobranie i zainstalowanie systemu iOS 10.3 na iPhonie 6s zajęło mi 15 minut. Chociaż jest to zalecana aktualizacja, na wszelki wypadek wykonaj kopię zapasową. 
Jak zwykle nie zaszkodzi trochę poczekać, aby zobaczyć, jak duży ekosystem Apple obsługuje najnowsze wydanie. Wewnętrzne procesy rozwoju Apple są obecnie dostosowane do różnych grup produktów. Firma Apple wydała również aktualizacje dla innych platform firmy, takich jak macOS, watchOS, tvOS i CarPlay. Tak więc, upewnij się, że złapiesz je również dla optymalnego doświadczenia, jeśli mocno zainwestujesz w ekosystem Apple. W międzyczasie znajdziesz listę napraw i poprawek zabezpieczeń, które można pobrać z pralni:
iOS 10.3 wprowadza nowe funkcje, w tym możliwość lokalizowania AirPods za pomocą funkcji Znajdź mój iPhone i więcej sposobów korzystania z Siri przy płatnościach, rezerwacji jazdy i aplikacji automaker.
Znajdź mojego IPhone'a
Zobacz aktualną lub ostatnią znaną lokalizację swoich AirPods
Odtwórz dźwięk na jednym lub obu urządzeniach AirPod, aby pomóc je znaleźć
Siri
Obsługa płatności i sprawdzania statusu rachunków za pomocą aplikacji płatniczych
Obsługa planowania z aplikacjami do rezerwacji jazdy
Obsługa sprawdzania poziomu paliwa w samochodzie, stanu zamka, włączania świateł i aktywacji klaksonu z aplikacjami automaker
Wyniki sportowe i statystyki krykieta dla Indian Premier League i International Cricket Council
CarPlay
Skróty na pasku stanu ułatwiające dostęp do ostatnio używanych aplikacji
Ekran Apple Music Now Playing daje dostęp do Up Next i aktualnie odtwarzanego albumu
Codzienne listy odtwarzania i nowe kategorie muzyczne w Apple Music
Inne ulepszenia i poprawki
Wypożycz jeden raz i oglądaj filmy z iTunes na swoich urządzeniach
Nowa konfiguracja ujednoliconego widoku dla informacji o koncie Apple ID, ustawień i urządzeń
Godzinowa pogoda w Mapach przy użyciu 3D Touch na wyświetlanej bieżącej temperaturze
Obsługa wyszukiwania "zaparkowanego samochodu" w Mapach
Kalendarz dodaje możliwość usunięcia niechcianego zaproszenia i zgłoszenia go jako wiadomości-śmieci
Obsługa aplikacji domowej w celu wyzwalania scen przy użyciu akcesoriów z przełącznikami i przyciskami
Obsługa aplikacji domowej dla stanu baterii poziomu akcesoriów
Podcasty obsługują widgety 3D Touch i Today, aby uzyskać dostęp do ostatnio aktualizowanych programów
Podcasty lub odcinki można udostępniać w wiadomościach z pełną obsługą odtwarzania
Rozwiązuje problem, który może uniemożliwić Mapom wyświetlanie Twojej bieżącej lokalizacji po zresetowaniu lokalizacji i prywatności
Udoskonalenia w zakresie stabilności VoiceOver dla telefonu, Safari i poczty
Lista poprawek i poprawek zabezpieczeń jest dłuższa i mniej interesująca. Tutaj są:
Konta
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: użytkownik może zobaczyć identyfikator Apple ID na ekranie blokady
Opis: rozwiązano problem z szybkim zarządzaniem, usuwając monity o uwierzytelnianie iCloud z ekranu blokady.
CVE-2017-2397: Suprovici Vadim zespołu UniApps, anonimowy badacz
Audio
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetwarzanie złośliwie spreparowanego pliku audio może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2430: anonimowy badacz współpracujący z Zero Day Initiative firmy Trend Micro
CVE-2017-2462: anonimowy badacz pracujący w ramach inicjatywy Zero Day Trend Micro
Węgiel
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego pliku .dfont może spowodować wykonanie dowolnego kodu
Opis: w obsłudze plików czcionek wystąpiło przepełnienie bufora. Ten problem rozwiązano dzięki ulepszonemu sprawdzaniu granic.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉 哥) Tencent Security Platform Department
CoreGraphics
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: Przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi
Opis: rozwiązano nieskończoną rekurencję, poprawiając zarządzanie stanem.
CVE-2017-2417: riusksk (泉 哥) Tencent Security Platform Department
CoreGraphics
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2444: Mei Wang z 360 GearTeam
CoreText
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego pliku czcionki może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesu
Opis: Odczyt poza zakresem został rozwiązany dzięki poprawionej weryfikacji danych wejściowych.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetworzenie złośliwie spreparowanego SMS-a może doprowadzić do odmowy usługi
Opis: rozwiązano problem wyczerpywania zasobów poprzez ulepszoną weryfikację danych wejściowych.
CVE-2017-2461: Isaac Archambault z IDAoADI, anonimowy badacz
Dostęp do danych
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: skonfigurowanie konta Exchange przy użyciu błędnie wpisanego adresu e-mail może zostać rozwiązane na nieoczekiwanym serwerze
Opis: podczas obsługi adresów e-mail Exchange istniał problem z weryfikacją danych wejściowych. Ten problem rozwiązano dzięki poprawieniu sprawdzania poprawności danych wejściowych.
CVE-2017-2414: Ilya Nesterov i Maxim Goncharov
FontParser
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego pliku czcionki może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2487: riusksk (泉 哥) Tencent Security Platform Department
CVE-2017-2406: riusksk (泉 哥) Tencent Security Platform Department
FontParser
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Analizowanie złośliwie spreparowanego pliku czcionki może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu
Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2407: riusksk (泉 哥) Tencent Security Platform Department
FontParser
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesu
Opis: Odczyt poza zakresem został rozwiązany dzięki poprawionej weryfikacji danych wejściowych.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Impact: Home Control może nieoczekiwanie pojawić się w Control Center
Opis: wystąpił problem z zarządzaniem Home Control. Ten problem rozwiązano dzięki poprawionej walidacji.
CVE-2017-2434: Suyash Narain z Indii
HTTPProtocol
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: złośliwy serwer HTTP / 2 może powodować niezdefiniowane zachowanie
Opis: wiele problemów wystąpiło w nghttp2 przed wersją 1.17.0. Rozwiązano je, aktualizując LibreSSL do wersji 1.17.0.
CVE-2017-2428
ImageIO
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego obrazu może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2416: Qidan He (何 淇 丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2432: anonimowy badacz współpracujący z Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2467
ImageIO
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetworzenie złośliwie spreparowanego obrazu może spowodować nieoczekiwane zakończenie działania programu
Opis: w wersjach LibTIFF przed wersją 4.0.7 istniał out-of-bound read. Rozwiązano to przez aktualizację LibTIFF w ImageIO do wersji 4.0.7.
CVE-2016-3619
sklep itunes
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieci może być w stanie manipulować ruchem sieciowym iTunes
Opis: Żądania usługi internetowej piaskownicy iTunes zostały wysłane w postaci zwykłego tekstu. Zostało to rozwiązane przez włączenie protokołu HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2398: Lufeng Li zespołu Qihoo 360 Vulcan
CVE-2017-2401: Lufeng Li zespołu Qihoo 360 Vulcan
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: Usterka przepełnienia liczby całkowitej została rozwiązana dzięki poprawieniu sprawdzania poprawności danych wejściowych.
CVE-2017-2440: anonimowy badacz
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami roota
Opis: Stan wyścigu został rozwiązany dzięki ulepszonej obsłudze pamięci.
CVE-2017-2456: lokihardt w Google Project Zero
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: rozwiązano problem związany z używaniem po zwolnieniu za pośrednictwem ulepszonego zarządzania pamięcią.
CVE-2017-2472: Ian Beer z Google Project Zero
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2473: Ian Beer z Google Project Zero
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: rozwiązano problem "jeden po drugim" dzięki ulepszonemu sprawdzaniu granic.
CVE-2017-2474: Ian Beer z Google Project Zero
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: Stan wyścigu został rozwiązany dzięki ulepszonemu blokowaniu.
CVE-2017-2478: Ian Beer z Google Project Zero
Jądro
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: rozwiązano problem z przepełnieniem bufora poprzez ulepszoną obsługę pamięci.
CVE-2017-2482: Ian Beer z Google Project Zero
CVE-2017-2483: Ian Beer z Google Project Zero
Klawiatury
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja może być w stanie wykonać dowolny kod
Opis: przepełnienie bufora rozwiązano poprzez poprawienie sprawdzania ograniczeń.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: lokalny atakujący może mieć możliwość zmiany uprawnień systemu plików w dowolnych katalogach
Opis: w obsłudze dowiązań symbolicznych istniał problem z weryfikacją. Ten problem rozwiązano poprzez poprawioną weryfikację dowiązań symbolicznych.
CVE-2017-2390: Omer Medan z enSilo Ltd
libc ++ abi
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Demangowanie złośliwej aplikacji w C ++ może spowodować wykonanie dowolnego kodu
Opis: rozwiązano problem związany z używaniem po zwolnieniu za pośrednictwem ulepszonego zarządzania pamięcią.
CVE-2017-2441
Papierowy
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może przeczytać tabelę
Opis: obszar roboczy został zaszyfrowany za pomocą klucza chronionego wyłącznie przez sprzętowy identyfikator UID. Ten problem rozwiązano przez zaszyfrowanie obszaru roboczego za pomocą klucza chronionego przez sprzętowy identyfikator użytkownika i hasło użytkownika.
CVE-2017-2399
Telefon
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: aplikacja innej firmy może zainicjować połączenie telefoniczne bez interakcji użytkownika
Opis: w systemie iOS wystąpił problem z obsługą połączeń bez monitowania. Ten problem rozwiązano, monitując użytkownika o potwierdzenie inicjowania połączenia.
CVE-2017-2484
Profile
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: atakujący może wykorzystać słabości algorytmu kryptograficznego DES
Opis: obsługa algorytmu kryptograficznego 3DES została dodana do klienta SCEP, a DES został uznany za przestarzały.
CVE-2017-2380: anonimowy badacz
Szybkie spojrzenie
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Stuknięcie łącza telefonicznego w dokumencie PDF może spowodować nawiązanie połączenia bez pytania użytkownika
Opis: Wystąpił problem podczas sprawdzania adresu URL tel przed rozpoczęciem połączeń. Ten problem rozwiązano, dodając monit o potwierdzenie.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring
Safari
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: odwiedzenie złośliwej witryny może prowadzić do fałszowania paska adresu
Opis: rozwiązano problem związany z zarządzaniem państwem przez wyłączenie wprowadzania tekstu, aż do załadowania strony docelowej.
CVE-2017-2376: anonimowy badacz, Michał Zalewski z Google Inc, Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Chris Hlady z Google Inc, anonimowy badacz, Yuyang Zhou z Tencent Security Platform Department (security. tencent.com)
Safari
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: użytkownik lokalny może wykrywać witryny odwiedzone przez użytkownika w przeglądarce prywatnej
Opis: w usunięciu SQLite wystąpił problem. Ten problem rozwiązano przez poprawione czyszczenie SQLite.
CVE-2017-2384
Safari
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może przedstawiać arkusze uwierzytelniania na dowolnych stronach internetowych
Opis: w obsłudze uwierzytelniania HTTP istniał problem z podszywaniem się i odmową usługi. Ten problem rozwiązano, czyniąc arkusze autoryzacji HTTP niemodalnymi.
CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC
Safari
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: odwiedzenie złośliwej witryny przez kliknięcie łącza może spowodować podszywanie się pod interfejs użytkownika
Opis: w procedurze obsługi komunikatów FaceTime wystąpił problem z podszywaniem się. Ten problem rozwiązano dzięki poprawieniu sprawdzania poprawności danych wejściowych.
CVE-2017-2453: XISIG Tenuan Xuanwu Lab (tencent.com)
Czytnik Safari
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: włączenie funkcji Safari Reader na złośliwie spreparowanej stronie internetowej może prowadzić do uniwersalnych skryptów krzyżowych
Opis: rozwiązano wiele problemów związanych z walidacją dzięki ulepszonemu odkażaniu danych wejściowych.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: stan pamięci podręcznej nie jest prawidłowo synchronizowany między przeglądarkami Safari i SafariViewController, gdy użytkownik wyczyści pamięć podręczną Safari
Opis: Wystąpił problem podczas usuwania informacji z pamięci podręcznej Safari z przeglądarki SafariViewController. Ten problem rozwiązano, poprawiając obsługę stanu pamięci podręcznej.
CVE-2017-2400: Abhinav Bansal z Zscaler, Inc.
Bezpieczeństwo
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: sprawdzenie poprawności pustych podpisów za pomocą metody SecKeyRawVerify () może nieoczekiwanie zakończyć się pomyślnie
Opis: istniał problem z weryfikacją przy użyciu wywołań API kryptograficznych. Ten problem rozwiązano dzięki ulepszonemu sprawdzaniu poprawności parametrów.
CVE-2017-2423: anonimowy badacz
Bezpieczeństwo
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może przechwytywać lub modyfikować dane w sesjach chronionych protokołem SSL / TLS
Opis: w pewnych okolicznościach bezpieczny transport nie potwierdził autentyczności pakietów OTR. Ten problem rozwiązano, przywracając brakujące etapy sprawdzania poprawności.
CVE-2017-2448: Alex Radocea z Longterm Security, Inc.
Bezpieczeństwo
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami roota
Opis: przepełnienie bufora rozwiązano poprzez poprawienie sprawdzania ograniczeń.
CVE-2017-2451: Alex Radocea z Longterm Security, Inc.
Bezpieczeństwo
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: Przetwarzanie złośliwie spreparowanego certyfikatu x509 może spowodować wykonanie dowolnego kodu
Opis: w procesie analizowania certyfikatów występował błąd uszkodzenia pamięci. Ten problem rozwiązano dzięki poprawieniu sprawdzania poprawności danych wejściowych.
CVE-2017-2485: Aleksandar Nikolic z Cisco Talos
Siri
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Wpływ: Siri może ujawnić treść wiadomości tekstowych, gdy urządzenie jest zablokowane
Opis: Rozwiązano problem niedostatecznego blokowania przy lepszym zarządzaniu stanem.
CVE-2017-2452: Hunter Byrnes
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przeciąganie i upuszczanie złośliwie spreparowanego linku może prowadzić do fałszowania zakładek lub wykonywania dowolnego kodu
Opis: w tworzeniu zakładek istniał problem z weryfikacją. Ten problem rozwiązano dzięki poprawieniu sprawdzania poprawności danych wejściowych.
CVE-2017-2378: XISIG Tenuan Xuanwu Lab (tencent.com)
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: odwiedzenie złośliwej witryny może prowadzić do fałszowania paska adresu
Opis: rozwiązano niespójny problem interfejsu użytkownika dzięki ulepszonemu zarządzaniu stanem.
CVE-2017-2486: redrain of light4freedom
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może spowodować przenikanie danych między źródłami
Opis: rozwiązano prototypowy problem dostępu, poprawiając obsługę wyjątków.
CVE-2017-2386: André Bargull
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci dzięki ulepszonej obsłudze pamięci.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z Google Project Zero
CVE-2017-2455: Ivan Fratric z Google Project Zero
CVE-2017-2457: lokihardt w Google Project Zero
CVE-2017-2459: Ivan Fratric z Google Project Zero
CVE-2017-2460: Ivan Fratric z Google Project Zero
CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero
CVE-2017-2465: Zheng Huang i Wei Yuan z Baidu Security Lab
CVE-2017-2466: Ivan Fratric z Google Project Zero
CVE-2017-2468: lokihardt w Google Project Zero
CVE-2017-2469: lokihardt w Google Project Zero
CVE-2017-2470: lokihardt w Google Project Zero
CVE-2017-2476: Ivan Fratric z Google Project Zero
CVE-2017-2481: 0011 współpracuje z programem Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: rozwiązano problem z pomyłką dla typu, poprawiając obsługę pamięci.
CVE-2017-2415: Kai Kang z Xuanwu Lab Tencenta (tentcent.com)
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanych i niewymuszonych zasad zabezpieczeń treści
Opis: w strategii bezpieczeństwa treści istniał problem z dostępem. Ten problem rozwiązano dzięki ulepszonym ograniczeniom dostępu.
CVE-2017-2419: Nicolai Grødum z Cisco Systems
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może prowadzić do dużego zużycia pamięci
Opis: rozwiązano problem z niekontrolowanym poborem zasobów dzięki ulepszonemu przetwarzaniu wyrażenia regularnego.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może spowodować ujawnienie pamięci procesu
Opis: w procesie przetwarzania cieniowania OpenGL istniał problem z ujawnieniem informacji. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu pamięcią.
CVE-2017-2424: Paul Thomson (przy użyciu narzędzia GLFuzz) z Multicore Programming Group, Imperial College London
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2433: Apple
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może spowodować przenikanie danych między źródłami
Opis: w procedurze ładowania strony wystąpiło wiele problemów z weryfikacją. Ten problem rozwiązano dzięki ulepszonej logice.
CVE-2017-2364: lokihardt w Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: złośliwa strona internetowa może exfiltrować dane pochodzące z różnych źródeł
Opis: w procedurze ładowania strony wystąpił błąd sprawdzania poprawności. Ten problem rozwiązano dzięki ulepszonej logice.
CVE-2017-2367: lokihardt w Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uniwersalnych skryptów krzyżowych
Opis: Wystąpił błąd logiczny w obsłudze obiektów ramek. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu państwem.
CVE-2017-2445: lokihardt w Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Wystąpił błąd logiczny w obsłudze funkcji trybu ścisłego. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu państwem.
CVE-2017-2446: Natalie Silvanovich z Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować utratę danych użytkownika
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszoną obsługę pamięci.
CVE-2017-2447: Natalie Silvanovich z Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: rozwiązano problem związany z używaniem po zwolnieniu za pośrednictwem ulepszonego zarządzania pamięcią.
CVE-2017-2471: Ivan Fratric z Google Project Zero
WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uniwersalnych skryptów krzyżowych
Opis: w obsłudze ramek wystąpił błąd logiczny. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu państwem.
CVE-2017-2475: lokihardt w Google Project Zero
Wiązania JavaScript w WebKit
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może spowodować przenikanie danych między źródłami
Opis: w procedurze ładowania strony wystąpiło wiele problemów z weryfikacją. Ten problem rozwiązano dzięki ulepszonej logice.
CVE-2017-2442: lokihardt w Google Project Zero
WebKit Web Inspector
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: zamknięcie okna podczas pauzy w debugerze może doprowadzić do nieoczekiwanego zakończenia działania aplikacji
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowsze wersje
Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu
Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.
CVE-2017-2405: Apple
Wniosek
W tej ostatecznej, ważnej aktualizacji Apple prawdopodobnie skupi się na następnej głównej wersji, iOS 11; niezależnie od ewentualnych nieprzewidzianych problemów z aktualizacją APFS. Prawdopodobnie zobaczymy naszą pierwszą zapowiedź iOS 11 na dorocznej konferencji programistów WWDC. Jak już mówiłem, osobiście byłem zadowolony z iOS, odkąd przerzuciłem się na iPhone'a. Platforma "po prostu działa" zgodnie z przeznaczeniem, a stabilność z każdą kolejną wersją systemu operacyjnego jest stała. Jestem pewien, że to się zmieni, gdy mój iPhone się starzeje, a nowsze funkcje pojawią się w przyszłych wersjach. Na razie wszystko jest w porządku.
Twoje doświadczenia mogą być odwrotne, więc daj nam znać, co myślisz o nowej aktualizacji. Wszelkie ukryte klejnoty, problemy lub ulepszenia wydajności?
