Apple iOS 11.0.1 został wydany i powinieneś uaktualnić teraz

Pierwsza aktualizacja firmy Apple dla wydanej właśnie aktualizacji do iOS 11 jest już dostępna. Nowa aktualizacja usuwa niektóre z wczesnych błędów znalezionych w wydaniu GM (golden master). Nie ma nowych funkcji, ale w tym wydaniu zdecydowanie koncentrujemy się na rozwiązywaniu problemów związanych z bezpieczeństwem. Kilka obszarów objętych aktualizacją to: Bluetooth, Proxy CFNetwork, CoreAudio, Exchange ActiveSync, Heimdal, iBook, Kernel, Sugestie dotyczące klawiatury, libc, Webkit i wiele innych. Zaleca się pobranie tej aktualizacji tak szybko, jak to możliwe. Nowa aktualizacja dotyczy zarówno iPhone'a, jak i iPada.

Co nowego w systemie iOS 11.0.1 i dlaczego warto dokonać aktualizacji

Użytkownicy korzystający z urządzeń obsługujących system iOS 11.0.1 powinni natychmiast dokonać aktualizacji z powodu wszystkich poprawek zabezpieczeń uwzględnionych w tej wersji. Aktualizacja ma około 280 MB, więc jest stosunkowo niewielka, ale przed rozpoczęciem pobierania upewnij się, że łączysz się z szybką siecią Wi-Fi.

Oto lista zmian w iOS 11.0.1

Ta nowa aktualizacja wydaje się łatać krytyczne obszary systemu, zapobiegając potencjalnym zdalnym atakom lub niepożądanemu wykonaniu kodu. Biorąc pod uwagę, że nasze smartfony są z nami przez cały czas, nie jest niemożliwe, aby coś takiego mogło się stać. Oto szczegóły dotyczące wprowadzonych zmian:

Bluetooth

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: aplikacja może mieć dostęp do plików zastrzeżonych

Opis: w procedurze obsługi kart kontaktów istniał problem z prywatnością. Zostało to rozwiązane dzięki ulepszonemu zarządzaniu państwem.

CVE-2017-7131: anonimowy badacz, Elvis (@elvisimprsntr), Dominik Conrads z Federalnego Urzędu ds. Bezpieczeństwa Informacji, anonimowy badacz

Wpis dodany 25 września 2017 r

Proxy CFNetwork

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: atakujący w uprzywilejowanej pozycji sieci może być w stanie spowodować odmowę usługi

Opis: rozwiązano wiele problemów z odmową usługi dzięki poprawieniu obsługi pamięci.

CVE-2017-7083: Abhinav Bansal z Zscaler Inc.

Wpis dodany 25 września 2017 r

CoreAudio

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: aplikacja może odczytać pamięć ograniczoną

Opis: odczyt poza obszarem został rozwiązany poprzez aktualizację do wersji Opus 1.1.4.

CVE-2017-0381: VEO (@VYSEa) zespołu ds. Badań nad zagrożeniami mobilnymi, Trend Micro

Wpis dodany 25 września 2017 r

Wymień ActiveSync

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieci może być w stanie usunąć urządzenie podczas konfiguracji konta Exchange

Opis: w programie AutoDiscover V1 wystąpił problem z weryfikacją. Rozwiązanie problemu wymagało protokołu TLS dla AutoDiscover V1. AutoDiscover V2 jest teraz obsługiwany.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji w sieci może być w stanie podszyć się pod usługę

Opis: w obsłudze nazwy usługi KDC-REP wystąpił błąd sprawdzania poprawności. Ten problem rozwiązano dzięki poprawionej walidacji.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Wpis dodany 25 września 2017 r

iBooks

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: Analizowanie złośliwie spreparowanego pliku iBooks może prowadzić do trwałej odmowy usługi

Opis: rozwiązano wiele problemów z odmową usługi dzięki poprawieniu obsługi pamięci.

CVE-2017-7072: Jędrzej Krysztofiak

Jądro

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia zawartości pamięci, poprawiając obsługę pamięci.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Wpis dodany 25 września 2017 r

Sugestie dotyczące klawiatury

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: sugestie dotyczące autokorekty klawiatury mogą ujawniać poufne informacje

Opis: klawiatura iOS nieumyślnie buforowała poufne informacje. Ten problem został rozwiązany dzięki ulepszonej heurystyce.

CVE-2017-7140: anonimowy badacz

Wpis dodany 25 września 2017 r

libc

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: zdalny napastnik może spowodować atak typu "odmowa usługi"

Opis: Problem wyczerpania zasobów w glob () rozwiązano za pomocą ulepszonego algorytmu.

CVE-2017-7086: Russ Cox firmy Google

Wpis dodany 25 września 2017 r

libc

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: aplikacja może wywołać odmowę usługi

Opis: Rozwiązano problem z zajętością pamięci poprzez ulepszoną obsługę pamięci.

CVE-2017-1000373

Wpis dodany 25 września 2017 r

libexpat

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: wiele problemów w expacie

Opis: rozwiązano wiele problemów, aktualizując do wersji 2.2.1

CVE-2016-9063

CVE-2017-9233

Wpis dodany 25 września 2017 r

Ramy lokalizacji

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: aplikacja może odczytać poufne informacje o lokalizacji

Opis: w obsłudze zmiennej lokalizacji wystąpił błąd uprawnień. Zostało to rozwiązane dzięki dodatkowym kontrolom własności.

CVE-2017-7148: anonimowy badacz, anonimowy badacz

Wpis dodany 25 września 2017 r

Mail Drafts

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może przechwytywać treść wiadomości e-mail

Opis: w obsłudze szkiców poczty istniał problem z szyfrowaniem. Ten problem rozwiązano dzięki poprawionej obsłudze projektów pocztowych przeznaczonych do wysłania w postaci zaszyfrowanej.

CVE-2017-7078: anonimowy badacz, anonimowy badacz, anonimowy badacz

Wpis dodany 25 września 2017 r

Mail MessageUI

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: Przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: Rozwiązano problem z uszkodzeniem pamięci z poprawioną weryfikacją.

CVE-2017-7097: Xinshu Dong i Jun Hao Tan z Anquan Capital

Wiadomości

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: Przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: problem związany z odmową usługi został rozwiązany dzięki ulepszonej walidacji.

CVE-2017-7118: Kiki Jiang i Jason Tokoph

MobileBackup

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: Kopia zapasowa może wykonać niezaszyfrowaną kopię zapasową, pomimo wymogu wykonywania tylko zaszyfrowanych kopii zapasowych

Opis: Wystąpił problem z uprawnieniami. Ten problem rozwiązano dzięki poprawieniu sprawdzania poprawności uprawnień.

CVE-2017-7133: Don Sparks z HackediOS.com

Telefon

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: zrzut ekranu bezpiecznej zawartości może zostać pobrany podczas blokowania urządzenia z systemem iOS

Opis: w obsłudze blokowania wystąpił problem z synchronizacją. Ten problem rozwiązano przez wyłączenie zrzutów ekranu podczas blokowania.

CVE-2017-7139: anonimowy badacz

Wpis dodany 25 września 2017 r

Safari

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: odwiedzenie złośliwej witryny może prowadzić do fałszowania paska adresu

Opis: rozwiązano niespójny problem interfejsu użytkownika dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7085: XISIG Tenuan Xuanwu Lab (tencent.com)

Bezpieczeństwo

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: odwołany certyfikat może być zaufany

Opis: w procedurach obsługi danych o odwołaniach istniał problem sprawdzania poprawności certyfikatu. Ten problem rozwiązano dzięki poprawionej walidacji.

CVE-2017-7080: anonimowy badacz, anonimowy badacz, Sven Driemecker z adesso mobile solutions gmbh, Rune Darrud (@theingingcorpse) z Bærum kommune

Wpis dodany 25 września 2017 r

Bezpieczeństwo

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: złośliwa aplikacja może być w stanie śledzić użytkowników między instalacjami

Opis: w procesie obsługi danych Keychain aplikacji istniał błąd sprawdzania uprawnień. Ten problem rozwiązano, poprawiając sprawdzanie uprawnień.

CVE-2017-7146: anonimowy badacz

Wpis dodany 25 września 2017 r

SQLite

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: wiele problemów w SQLite

Opis: rozwiązano wiele problemów, aktualizując do wersji 3.19.3.

CVE-2017-10989: znaleziony przez OSS-Fuzz

CVE-2017-7128: znaleziony przez OSS-Fuzz

CVE-2017-7129: znalezione przez OSS-Fuzz

CVE-2017-7130: znaleziony przez OSS-Fuzz

Wpis dodany 25 września 2017 r

SQLite

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

Opis: Rozwiązano problem uszkodzenia zawartości pamięci, poprawiając obsługę pamięci.

CVE-2017-7127: anonimowy badacz

Wpis dodany 25 września 2017 r

Czas

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: "Ustawianie strefy czasowej" może niepoprawnie wskazywać, że korzysta z lokalizacji

Opis: w procesie, który obsługuje informacje o strefie czasowej, istnieje problem uprawnień. Problem został rozwiązany przez zmodyfikowanie uprawnień.

CVE-2017-7145: anonimowy badacz

Wpis dodany 25 września 2017 r

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci poprzez ulepszone sprawdzanie poprawności danych wejściowych.

CVE-2017-7081: Apple

Wpis dodany 25 września 2017 r

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanych treści WWW może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano wiele problemów związanych z uszkodzeniem zawartości pamięci, poprawiając obsługę pamięci.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan z Baidu Security Lab współpracuje z Zero Day Inicjatywą Trend Micro

CVE-2017-7092: Samuel Gro i Niklas Baumstark współpracują z Zero Day Initiative firmy Trend Micro Qixun Zhao (@ S0rryMybad) zespołu Qihoo 360 Vulcan

CVE-2017-7093: Samuel Gro i Niklas Baumstark współpracują z Zero Day Initiative firmy Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) z Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University współpracujący z Zero Day Inicjatywa Trend Micro

CVE-2017-7096: Wei Yuan z Baidu Security Lab

CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa i Mario Heiderich z Cure53

CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7104: likemeng Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7111: podobne do Baidu Security Lab (xlab.baidu.com) współpracujące z Zero Day Initiative firmy Trend Micro

CVE-2017-7117: lokihardt w Google Project Zero

CVE-2017-7120: chenqin (陈钦) Ant-Financial Light-Year Security Lab

Wpis dodany 25 września 2017 r

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uniwersalnych skryptów krzyżowych

Opis: Wystąpił błąd logiczny w obsłudze zakładki nadrzędnej. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu państwem.

CVE-2017-7089: Anton Lopanitsyn z ONSEC, Frans Rosén z Detectify

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: pliki cookie należące do jednego źródła mogą być wysyłane do innego źródła

Opis: podczas obsługi plików cookie przeglądarki internetowej wystąpił problem z uprawnieniami. Rozwiązano problem polegający na tym, że pliki cookie nie są już zwracane w przypadku niestandardowych schematów adresów URL.

CVE-2017-7090: Apple

Wpis dodany 25 września 2017 r

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: odwiedzenie złośliwej witryny może prowadzić do fałszowania paska adresu

Opis: rozwiązano niespójny problem interfejsu użytkownika dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7106: Oliver Paukstadt z Thinking Objects GmbH (to.com)

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanych treści internetowych może doprowadzić do ataku typu cross site scripting

Opis: zasady dotyczące pamięci podręcznej aplikacji mogą zostać nieoczekiwanie zastosowane.

CVE-2017-7109: avlidienbrunn

Wpis dodany 25 września 2017 r

WebKit

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: złośliwa witryna może śledzić użytkowników w trybie przeglądania prywatnego przeglądarki Safari

Opis: podczas obsługi plików cookie przeglądarki internetowej wystąpił problem z uprawnieniami. Ten problem rozwiązano dzięki ulepszonym ograniczeniom.

CVE-2017-7144: anonimowy badacz

Wpis dodany 25 września 2017 r

Wi-Fi

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Wpływ: atakujący w zasięgu może być w stanie wykonać dowolny kod w układzie Wi-Fi

Opis: Rozwiązano problem uszkodzenia zawartości pamięci, poprawiając obsługę pamięci.

CVE-2017-11120: Gal Beniamini z Google Project Zero

CVE-2017-11121: Gal Beniamini z Google Project Zero

Wpis dodany 25 września 2017 r

Wi-Fi

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: złośliwy kod wykonujący się na chipie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra na procesorze aplikacji

Opis: Rozwiązano problem uszkodzenia zawartości pamięci, poprawiając obsługę pamięci.

CVE-2017-7103: Gal Beniamini z Google Project Zero

CVE-2017-7105: Gal Beniamini z Google Project Zero

CVE-2017-7108: Gal Beniamini z Google Project Zero

CVE-2017-7110: Gal Beniamini z Google Project Zero

CVE-2017-7112: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: złośliwy kod wykonujący się na chipie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra na procesorze aplikacji

Opis: Wiele warunków wyścigu zostało rozwiązanych dzięki ulepszonej walidacji.

CVE-2017-7115: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: Szkodliwy kod wykonywany na chipie Wi-Fi może być w stanie odczytać ograniczoną pamięć jądra

Opis: rozwiązano problem z poprawianiem poprawionej funkcji odkażania danych wejściowych.

CVE-2017-7116: Gal Beniamini z Google Project Zero

zlib

Dostępne dla: iPhone 5s i nowszych, iPad Air i nowszych oraz iPod touch 6. generacji

Zagrożenie: wiele problemów w zlib

Opis: rozwiązano wiele problemów, aktualizując do wersji 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Źródło

Więc, czy powinieneś uaktualnić? Zawsze! Nie musisz w tej chwili poprawiać, ale nie pominąłbym dnia bez zainstalowania go. Polecam monitorować media społecznościowe i witryny internetowe, aby sprawdzić, czy coś się pojawi przed końcem dnia. Zazwyczaj te pierwsze aktualizacje mogą zawierać więcej błędów, niż naprawiają.

W każdym razie, daj nam znać, jak idzie i powiedz nam, jak dobrze iOS 11 działa na twoim urządzeniu Apple.