Apple iOS 10.3 - Mali by ste upgradovať a čo obsahuje?
Apple vydal najnovšie a aké sú pravdepodobnéfinálna aktualizácia údržby pre jeho mobilný operačný systém, iOS 10.3. Toto vydanie predstavuje zásadnú revíziu, ktorá obsahuje úplne nový súborový systém. Už len z tohto dôvodu vám odporúčame pred inštaláciou zálohovať. Okrem vylepšenia nového súborového systému, ktorý presunie všetky vaše dáta zo starého HFS + na APFS (prečítajte si náš predchádzajúci príspevok, ak vás zaujíma „Čo je APFS?“) - iOS 10.3 obsahuje aj vylepšenú podporu pre efektné bezdrôtové slúchadlá spoločnosti Apple, uľahčuje ich hľadanie pomocou novej funkcie Nájdi moje AirPods funkcie.Aktualizácia obsahuje veľkú zbierku zákulisných zmien, ktoré sa väčšinou týkajú tvorcov aplikácií. Napríklad App Store teraz umožní vývojárom po prvýkrát reagovať na recenzie zákazníkov. Fanúšikovia kriketu sa môžu tešiť na použitie Siri na kontrolu športových výsledkov a štatistík indickej Premier League a Medzinárodnej kriketovej rady.
Posledná aktualizácia na iOS 10 prišla s 10.2.1 aktualizácia v januári 2017; predchádzalo 10.2 v decembri 2016 a 10.1 v októbri 2016. Vo vydaní 10.3 boli upravené významné časti operačného systému, napríklad nastavenia profilu Apple ID, ktoré majú teraz podrobnejší zoznam úložiska iCloud. Nová verzia bude tiež informovať používateľov o zastaraných aplikáciách, ktoré už nie sú kompatibilné s OS. Inteligentné domy si tiež získajú lásku vďaka možnosti programovať svetelné spínače. Okrem toho sú v Sirikite k dispozícii ďalšie doplnky, ako napríklad platba za účet, stav a plánovanie budúcich jázd.
Mali by ste inovovať svoj iPad alebo iPhone na iOS 10.3?
Teraz, na časť, na ktorú ste všetci čakali: Mali by ste upgradovať? Áno, je to aktualizácia údržby a všetci vieme, aké dôležité sú to, najmä z hľadiska bezpečnosti.
Ale….
Používatelia iOS musia k tomuto trochu pristupovaťtrochu opatrnosti v dôsledku základných zmien, ako je aktualizácia súborového systému. Ak chcete prepnúť svoje zariadenie na APFS, bude sa vaše zariadenie so systémom iOS musieť v podstate vyčistiť a preformátovať. To všetko sa stane v zákulisí, ale riziko straty údajov je s touto aktualizáciou vyššie.
Aktualizácia iOS 10.3 je dosť statná a váži okolo 611 MB.Používatelia si môžu stiahnuť najnovšiu aktualizáciu systému iOS spustením ponuky Nastavenia> Všeobecné> Aktualizácia softvéru. Stiahnutie a inštalácia iOS 10.3 na iPhone 6s mi trvalo 15 minút. Aj keď sa jedná o odporúčanú aktualizáciu, nezabudnite vykonať zálohu pre každý prípad.
Ako vždy, nezaškodí si trochu počkať, kým sa uvidíako dobre zvláda veľký ekosystém Apple najnovšie vydanie. Procesy interného vývoja spoločnosti Apple sú v dnešnej dobe zosúladené medzi skupinami produktov. Spoločnosť Apple tiež vydala aktualizácie pre ďalšie platformy spoločnosti, ako sú macOS, watchOS, tvOS a CarPlay. Ak teda investujete veľké množstvo prostriedkov do ekosystému Apple, nezabudnite ich chytiť aj pre optimálny zážitok. Medzitým je tu uvedený obvyklý zoznam opráv chýb a aktualizácií zabezpečenia, ktorý obsahuje:
iOS 10.3 predstavuje nové funkcie vrátane možnosti vyhľadať AirPods pomocou funkcie Nájsť môj iPhone a ďalších spôsobov, ako používať Siri v aplikáciách platieb, rezervácií jázd a automobilových výrobcov.
Nájdi môj iPhone
Zobrazenie aktuálnej alebo poslednej známej polohy vašich AirPodov
Prehrajte zvuk na jednom alebo oboch AirPodoch, aby ste ich našli
Siri
Podpora platenia a kontroly stavu účtov pomocou platobných aplikácií
Podpora plánovania pomocou aplikácií na rezerváciu jázd
Podpora kontroly hladiny paliva v automobile, stavu blokovania, rozsvietenia svetiel a aktivácie klaksónu pomocou aplikácií automobilky
Kriketové športové výsledky a štatistiky pre Indickú Premier League a Medzinárodnú kriketovú radu
CarPlay
Skratky na stavovom riadku pre ľahký prístup k naposledy použitým aplikáciám
Obrazovka Apple Music Now Playing umožňuje prístup k skladbe Up Next a albumu, ktorý sa práve hrá
Denne zostavované zoznamy skladieb a nové hudobné kategórie v Apple Music
Ďalšie vylepšenia a opravy
Vypožičajte si jedenkrát a sledujte svoje filmy z iTunes na všetkých svojich zariadeniach
Zjednotené zobrazenie Nové nastavenia pre informácie o vašom účte Apple ID, nastavenia a zariadenia
Hodinové počasie v Mapách pomocou 3D Dotknite sa zobrazenej aktuálnej teploty
Podpora vyhľadávania „zaparkovaného auta“ v Mapách
Kalendár pridáva možnosť odstrániť nechcenú pozvánku a nahlásiť ju ako nevyžiadanú
Podpora domácej aplikácie na spúšťanie scén pomocou príslušenstva s prepínačmi a tlačidlami
Podpora domácej aplikácie pre stav nabitia batérie v príslušenstve
Podpora podcastov pre miniaplikáciu 3D Touch a Today pre prístup k nedávno aktualizovaným programom
Relácie alebo epizódy podcastu sa dajú zdieľať do Správ s plnou podporou prehrávania
Opravuje problém, ktorý mohol zabrániť Mapám v zobrazení vašej aktuálnej polohy po obnovení polohy a ochrany osobných údajov
Vylepšenia stability VoiceOveru pre telefón, Safari a poštu
Zoznam bezpečnostných opráv a opráv je dlhší a menej zaujímavý. Tu sú:
účty
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Používateľ môže byť schopný zobraziť Apple ID zo zamknutej obrazovky
Popis: Problém s okamžitou správou bol vyriešený odstránením výziev na overenie iCloud zo zamknutej obrazovky.
CVE-2017-2397: Suprovici Vadim z tímu UniApps, anonymný výskumník
audio
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dôsledok: Spracovanie nesprávne vytvoreného zvukového súboru môže viesť k ľubovoľnému vykonaniu kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2430: anonymný výskumník spolupracujúci s iniciatívou Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2462: anonymný výskumník spolupracujúci s iniciatívou Zero Day Initiative spoločnosti Trend Micro
Uhlík
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivého súboru .dfont môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov fontov dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly hraníc.
CVE-2017-2379: John Villamil, Doyensec, riusksk (哥) z oddelenia bezpečnostnej platformy Tencent
CoreGraphics
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného obrázka môže viesť k odmietnutiu služby
Popis: Nekonečná rekurzia bola vyriešená vylepšením správy stavu.
CVE-2017-2417: riusksk (哥 哥) z oddelenia bezpečnostnej platformy Tencent
CoreGraphics
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Viacerými problémami s poškodením pamäte sa riešilo vylepšené overenie vstupu.
CVE-2017-2444: Mei Wang z tímu 360 GearTeam
CoreText
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok zverejnenie procesnej pamäte
Popis: Čítané hodnoty mimo rozsahu boli vyriešené vylepšením overovania vstupu.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvorenej textovej správy môže viesť k odmietnutiu aplikácie
Opis: Problém s vyčerpaním zdrojov bol vyriešený prostredníctvom vylepšeného overenia vstupu.
CVE-2017-2461: Isaac Archambault z IDAoADI, anonymný výskumník
DataAccess
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Konfigurácia účtu Exchange s nesprávne napísanou e-mailovou adresou sa môže vyriešiť pre neočakávaný server
Popis: Pri spracovávaní e-mailových adries Exchange existoval problém s overením vstupu. Tento problém bol vyriešený vylepšením overovania vstupov.
CVE-2017-2414: Ilya Nesterov a Maxim Goncharov
FontParser
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Viacerými problémami s poškodením pamäte sa riešilo vylepšené overenie vstupu.
CVE-2017-2487: riusksk (哥 哥) z oddelenia bezpečnostnej platformy Tencent
CVE-2017-2406: riusksk (哥 哥) z oddelenia bezpečnostnej platformy Tencent
FontParser
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Analýza súboru súboru písma so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Viacerými problémami s poškodením pamäte sa riešilo vylepšené overenie vstupu.
CVE-2017-2407: riusksk (哥 哥) z oddelenia bezpečnostnej platformy Tencent
FontParser
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok zverejnenie procesnej pamäte
Popis: Čítané hodnoty mimo rozsahu boli vyriešené vylepšením overovania vstupu.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Domáce ovládanie sa môže neočakávane objaviť v ovládacom centre
Popis: Pri spracovávaní Home Control existoval problém so stavom. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2434: Suyash Narain z Indie
HTTPProtocol
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Škodlivý server HTTP / 2 môže byť schopný spôsobiť nedefinované správanie
Popis: V nghttp2 pred 1.17.0 existovalo niekoľko problémov. Tieto problémy boli vyriešené aktualizáciou LibreSSL na verziu 1.17.0.
CVE-2017-2428
ImageIO
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného obrázka môže viesť k spusteniu ľubovoľného kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2416: Qidan He (何 淇 丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Prezeranie škodlivého súboru JPEG môže viesť k spusteniu ľubovoľného kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2432: anonymný výskumník spolupracujúci s iniciatívou Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného súboru môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2467
ImageIO
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného obrázka môže viesť k neočakávanému ukončeniu aplikácie
Popis: Vo verziách LibTIFF pred 4.0.7 existovalo čítanie mimo hranice. Tento problém bol vyriešený aktualizáciou LibTIFF v ImageIO na verziu 4.0.7.
CVE-2016-3619
itunes obchod
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Útočník v privilegovanej pozícii v sieti môže byť schopný manipulovať so sieťovým prenosom iTunes
Popis: Žiadosti do webových služieb karantény iTunes boli odoslané v čistom texte. Tento problém bol vyriešený povolením protokolu HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2398: Lufeng Li z tímu Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li z tímu Qihoo 360 Vulcan Team
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Popis: Pretekanie celého čísla bolo vyriešené vylepšením overovania vstupu.
CVE-2017-2440: anonymný výskumník
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Škodlivá aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami root
Popis: Podmienka rasy bola vyriešená vylepšením spracovania pamäte.
CVE-2017-2456: lokihardt z tímu Google Project Zero
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Opis: Použitie po bezplatnom vydaní bolo riešené prostredníctvom vylepšenej správy pamäte.
CVE-2017-2472: Ian Beer z tímu Google Project Zero
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Škodlivá aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2473: Ian Beer z tímu Google Project Zero
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Popis: Problém typu off-by-one bol vyriešený vylepšením kontroly hraníc.
CVE-2017-2474: Ian Beer z tímu Google Project Zero
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Opis: Závod bol vyriešený zlepšeným zamykaním.
CVE-2017-2478: Ian Beer z tímu Google Project Zero
jadro
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra
Opis: Problém s pretečením vyrovnávacej pamäte bol vyriešený vylepšeným spracovaním pamäte.
CVE-2017-2482: Ian Beer z tímu Google Project Zero
CVE-2017-2483: Ian Beer z tímu Google Project Zero
klávesnica
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód
Opis: Pretečenie vyrovnávacej pamäte bolo riešené zlepšenou kontrolou hraníc.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Lokálny útočník môže byť schopný zmeniť povolenia súborového systému v ľubovoľných adresároch
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2017-2390: Omer Medan z enSilo Ltd.
libc ++ abi
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Demangling škodlivej aplikácie v C ++ môže viesť k spusteniu ľubovoľného kódu
Opis: Použitie po bezplatnom vydaní bolo riešené prostredníctvom vylepšenej správy pamäte.
CVE-2017-2441
Lepenka
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Osoba s fyzickým prístupom k zariadeniu iOS môže čítať pracovnú plochu
Popis:Tabuľka bola šifrovaná kľúčom chráneným iba hardvérovým UID. Tento problém bol vyriešený šifrovaním pracovnej plochy pomocou kľúča chráneného hardvérovým identifikátorom UID a prístupovým kódom používateľa.
CVE-2017-2399
telefón
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia tretej strany môže iniciovať telefónny hovor bez interakcie používateľa
Popis: V systéme iOS existoval problém, ktorý umožňoval hovory bez výzvy. Tento problém bol vyriešený výzvou používateľovi, aby potvrdil začatie hovoru.
CVE-2017-2484
profily
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Útočník môže byť schopný využiť slabé miesta v kryptografickom algoritme DES
Popis: Do klienta SCEP bola pridaná podpora pre kryptografický algoritmus 3DES a podpora DES bola ukončená.
CVE-2017-2380: anonymný výskumník
Rýchly pohľad
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Klepnutie na telefónny odkaz v dokumente PDF môže viesť hovor bez vyzvania používateľa
Popis: Pri kontrole telefónnej adresy URL pred uskutočňovaním hovorov existoval problém. Tento problém bol vyriešený pridaním potvrdzovacej výzvy.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Austrália), Christoph Nehring
safari
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Návšteva škodlivého webu môže viesť k spoofingu v paneli s adresou
Opis: Problém správy štátu bol vyriešený zakázaním vkladania textu až do načítania cieľovej stránky.
CVE-2017-2376:anonymný výskumník, Michal Zalewski z Google Inc, Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Chris Hlady z Google Inc, anonymný výskumník, Yuyang Zhou z Tencent Security Platform Department (security.tencent.com)
safari
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Lokálny používateľ môže byť schopný objavovať webové stránky, ktoré používateľ navštívil, v súkromnom prehliadaní
Popis: Pri odstraňovaní SQLite existoval problém. Tento problém bol vyriešený vylepšením čistenia SQLite.
CVE-2017-2384
safari
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného webového obsahu môže predstavovať overovacie listy na ľubovoľných webových stránkach
Popis: Pri spracovávaní autentifikácie HTTP existoval problém so spoofingom a odmietnutím služby. Tento problém bol vyriešený vytvorením nemodálnych listov autentifikácie HTTP.
CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC
safari
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Návšteva škodlivej webovej stránky kliknutím na odkaz môže viesť k spoofingu používateľského rozhrania
Popis: Pri spracovávaní výziev FaceTime dochádzalo k problému so spoofingom. Tento problém bol vyriešený vylepšením overovania vstupov.
CVE-2017-2453: xisigr z tímu Tencent’s Xuanwu Lab (tencent.com)
Safari Reader
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Povolenie funkcie Safari Reader na webovej stránke so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi stránkami.
Popis: Viaceré problémy s overením boli vyriešené vylepšením vstupnej dezinfekcie.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Keď používateľ vymaže vyrovnávaciu pamäť Safari, stav pamäte cache nie je medzi Safari a SafariViewController správne synchronizovaný
Popis: Pri vymazávaní informácií medzipamäte Safari z SafariViewController dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovania stavu medzipamäte.
CVE-2017-2400: Abhinav Bansal zo spoločnosti Zscaler, Inc.
zabezpečenia
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Overovanie prázdnych podpisov pomocou nástroja SecKeyRawVerify () môže byť neočakávane úspešné
Popis: Pri kryptografických volaniach rozhrania API existoval problém s overením. Tento problém bol vyriešený vylepšením overovania parametrov.
CVE-2017-2423: anonymný výskumník
zabezpečenia
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Útočník s privilegovanou sieťovou pozíciou môže zachytávať alebo upravovať údaje v reláciách chránených SSL / TLS
Popis: Za určitých okolností sa zabezpečenému transportu nepodarilo overiť pravosť paketov OTR. Tento problém bol vyriešený obnovením chýbajúcich krokov overenia.
CVE-2017-2448: Alex Radocea zo spoločnosti Longterm Security, Inc.
zabezpečenia
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami root
Opis: Pretečenie vyrovnávacej pamäte bolo riešené zlepšenou kontrolou hraníc.
CVE-2017-2451: Alex Radocea zo spoločnosti Longterm Security, Inc.
zabezpečenia
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivého certifikátu x509 môže viesť k spusteniu ľubovoľného kódu
Popis: Pri analýze certifikátov existoval problém s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupov.
CVE-2017-2485: Aleksandar Nikolic zo spoločnosti Cisco Talos
Siri
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Siri môže odhaliť obsah textových správ, keď je zariadenie uzamknuté
Popis: Vylepšenou správou stavu bol vyriešený nedostatočný problém s uzamknutím.
CVE-2017-2452: Hunter Byrnes
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Presunutie škodlivého odkazu môže viesť k falšovaniu záložiek alebo k ľubovoľnému spusteniu kódu
Popis: Pri vytváraní záložiek existoval problém s overením. Tento problém bol vyriešený vylepšením overovania vstupov.
CVE-2017-2378: xisigr z tímu Tencent’s Xuanwu Lab (tencent.com)
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Návšteva škodlivého webu môže viesť k spoofingu v paneli s adresou
Popis: Nekonzistentný problém používateľského rozhrania bol vyriešený vylepšením správy stavu.
CVE-2017-2486: redrain of light4freedom
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k exfiltrácii krížového pôvodu údajov
Opis: Problém s prístupom k prototypu bol vyriešený zlepšeným spracovaním výnimiek.
CVE-2017-2386: André Bargull
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Viacerými problémami s poškodením pamäte sa riešilo vylepšené overenie vstupu.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Viaceré problémy s poškodením pamäte boli riešené prostredníctvom vylepšeného spracovania pamäte.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z Google Project Zero
CVE-2017-2455: Ivan Fratric z Google Project Zero
CVE-2017-2457: lokihardt z tímu Google Project Zero
CVE-2017-2459: Ivan Fratric z Google Project Zero
CVE-2017-2460: Ivan Fratric z Google Project Zero
CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero
CVE-2017-2465: Zheng Huang a Wei Yuan z laboratória bezpečnosti Baidu
CVE-2017-2466: Ivan Fratric z Google Project Zero
CVE-2017-2468: lokihardt z tímu Google Project Zero
CVE-2017-2469: lokihardt z tímu Google Project Zero
CVE-2017-2470: lokihardt z tímu Google Project Zero
CVE-2017-2476: Ivan Fratric z Google Project Zero
CVE-2017-2481: 0011 v spolupráci s iniciatívou Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Popis: Problém so zmätkom typu bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2415: Kai Kang z Tencent’s Xuanwu Lab (tentcent.com)
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného webového obsahu môže viesť k neočakávane nevynúteným pravidlám zabezpečenia obsahu
Popis: V politike zabezpečenia obsahu existoval problém s prístupom. Tento problém bol vyriešený vylepšením obmedzení prístupu.
CVE-2017-2419: Nicolai Grødum zo spoločnosti Cisco Systems
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivého webového obsahu môže viesť k vysokej spotrebe pamäte
Popis: Problém s nekontrolovanou spotrebou zdrojov bol vyriešený vylepšením spracovania regulárneho výrazu.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie škodlivo vytvoreného webového obsahu môže mať za následok zverejnenie procesnej pamäte
Popis: Pri spracovávaní shaderov OpenGL existoval problém so zverejnením informácií. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2017-2424: Paul Thomson (pomocou nástroja GLFuzz) z Multicore Programming Group, Imperial College London
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2433: Apple
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k exfiltrácii krížového pôvodu údajov
Popis: Pri spracovávaní načítania stránky existovalo niekoľko problémov s overením. Tento problém bol vyriešený vylepšením logiky.
CVE-2017-2364: lokihardt programu Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Škodlivý web môže vyfiltrovať krížový pôvod údajov
Opis: Pri spracovávaní načítania stránky sa vyskytol problém s overením. Tento problém bol vyriešený vylepšenou logikou.
CVE-2017-2367: lokihardt z programu Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k univerzálnemu skriptovaniu na viacerých stránkach
Popis: Pri spracovávaní objektov rámcov existoval logický problém. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2445: lokihardt z tímu Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Popis: Pri spracovávaní funkcií prísneho režimu existoval logický problém. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2446: Natalie Silvanovich z Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Návšteva škodlivo vytvoreného webu môže ohroziť informácie o používateľovi
Popis: Problém s poškodením pamäte bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2447: Natalie Silvanovich z Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Použitie po bezplatnom vydaní bolo riešené prostredníctvom vylepšenej správy pamäte.
CVE-2017-2471: Ivan Fratric z Google Project Zero
WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k univerzálnemu skriptovaniu na viacerých stránkach
Popis: Pri spracovávaní rámcov existoval logický problém. Tento problém bol vyriešený vylepšením správy štátu.
CVE-2017-2475: lokihardt z tímu Google Project Zero
Viazania JavaScriptu WebKit
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k exfiltrácii krížového pôvodu údajov
Popis: Pri spracovávaní načítania stránky existovalo niekoľko problémov s overením. Tento problém bol vyriešený vylepšením logiky.
CVE-2017-2442: lokihardt z tímu Google Project Zero
WebKit Webový inšpektor
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Zatvorenie okna počas pozastavenia v debuggeri môže viesť k neočakávanému ukončeniu aplikácie
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2377: Vicki Pfau
WebKit Webový inšpektor
Dostupné pre: iPhone 5 a novší, iPad 4. generácie a novšie, iPod touch 6. generácie a novšie
Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu
Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.
CVE-2017-2405: Apple
záver
S touto poslednou, veľkou aktualizáciou, Apple pravdepodobne budezamerať sa na ďalšie veľké vydanie, iOS 11; bez ohľadu na možné nepredvídané problémy s aktualizáciou APFS. Náš prvý náhľad na iOS 11 pravdepodobne uvidíme na výročnej vývojárskej konferencii spoločnosti WWDC. Ako som už povedal predtým, mňa osobne iOS potešil, odkedy som prešiel na iPhone. Platforma „funguje“ podľa očakávaní a stabilita držala krok s každou revíziou operačného systému. Som si istý, že sa to bude meniť, keď bude môj iPhone starnúť a v budúcich revíziách sa začnú objavovať novšie a zdatnejšie funkcie. Zatiaľ je to všetko dobré.
Vaše skúsenosti môžu byť opačné, takže nám dajte vedieť, čo si myslíte o novej aktualizácii. Nejaké skryté drahokamy, problémy alebo vylepšenia výkonu?
Zanechať komentár