Apple iOS 10.3 - Pitäisikö sinun päivittää ja mitä siihen sisältyy?

Apple on julkaissut viimeisimmän ja mikä todennäköisesti on viimeinen ylläpito-päivitys mobiiliin käyttöjärjestelmään iOS 10.3. Julkaisu on merkittävä versio, joka sisältää uuden tiedostojärjestelmän. Tästä syystä suosittelemme varmuuskopiointia ennen asennusta. Uuden tiedostojärjestelmän parannuksen lisäksi - joka siirtää kaikki tiedot vanhasta HFS +: sta APFS: ksi (lue edellinen postit, jos mietit "Mitä on APFS?") - iOS 10.3 sisältää myös paremman tuen Applen tyylikkäille langattomille kuulokkeille, mikä helpottaa niiden löytämistä käyttämällä uutta ominaisuutta Find My AirPods -toimintoa. Päivitys sisältää suuren joukon kulissien takana muutoksia, jotka vaikuttavat enimmäkseen sovellusten tekijöihin. Esimerkiksi App Store antaa kehittäjille vastata ensimmäisen kerran asiakkaiden arvosteluihin. Krikettipelaajat voivat odottaa Siriä tarkastaakseen urheilutuloksia ja tilastoja Intian Premier-liigalle ja kansainväliselle krikettiryhmälle.

Viimeinen päivitys iOS 10: een sisälsi 10.2.1 päivityksen tammikuussa 2017; jota edeltävät 10, 2 joulukuuhun 2016 ja 10, 1 lokakuuhun 2016. Käyttöjärjestelmän merkittäviä osia on muutettu 10.3-julkaisussa, kuten Apple ID Profile -asetuksissasi, joilla on nyt yksityiskohtaisempi luettelo iCloud-tallennustilasta. Uusi versio ilmoittaa myös käyttäjille vanhentuneista sovelluksista, jotka eivät enää ole käyttöjärjestelmän mukaisia. Älykkäät kodit saavat myös joitain rakkautta kyvyn ohjelmoida valokatkaisijoita. Lisäksi Sirikitille on lisäyksiä, kuten laskujen maksu, tilanne ja aikataulutus tulevaisuuden ajoissa.

Pitäisikö iPad tai iPhone päivittää iOS 10.3: een?

Nyt, kun olette odottaneet: Olisitko päivitettävä? Kyllä, se on huoltopäivitys, ja me kaikki tiedämme, kuinka tärkeitä nämä ovat, varsinkin turvallisuuden kannalta.

Mutta….

iOS-käyttäjien on lähestyttävä tätä hieman varovaisuuden vuoksi ydinmuutosten, kuten tiedostojärjestelmän päivityksen, vuoksi. Jos haluat vaihtaa laitteesi APFS: n päälle, iOS-laitteesi on itse asiassa itse pestävä puhtaaksi ja muotoiltava itsensä uudelleen. Kaikki tämä tapahtuu kulissien takana, mutta tietojen menettämisriski on tätä päivitystä suurempi.

IOS 10.3 -päivitys on melko voimakas ja painaa noin 611 Megatavua. Käyttäjät voivat ladata uusimman iOS-päivityksen käynnistämällä Asetukset> Yleiset> Ohjelmistopäivitys. Se kesti 15 minuuttia aikaa ladata ja asentaa iOS 10.3 iPhone 6: een. Vaikka tämä on suositeltu päivitys, varmista, että suoritat varmuuskopion vain siinä tapauksessa.

Kuten aina, se ei haittaa odottaa hieman nähdä kuinka hyvin suuri Apple ekosysteemi hoitaa uusimman julkaisun. Applen sisäiset kehitysprosessit ovat tällä hetkellä vertailussa tuoteryhmissä. Apple julkaisi myös päivityksiä yhtiön muille alustoille, kuten macOS, watchOS, tvOS ja CarPlay. Joten varmista, että otat ne myös optimaaliseen kokemukseen, jos panostat voimakkaasti Applen ekosysteemiin. Sillä välin, tässä on tavallinen pyykkiluettelo vikakorjauksista ja tietoturvapäivityksistä:

iOS 10.3 esittelee uusia ominaisuuksia, mukaan lukien kyky löytää AirPods Findin avulla iPhonen avulla ja lisää tapoja käyttää Siriä maksu-, ajo- ja automaker-sovelluksilla.

Löydä iPhoneni

Tarkastele AirPod-laitteiden nykyistä tai viimeistä tunnettua sijaintia

Toista ääni yhdellä tai molemmilla AirPods-laitteilla, jotta voit löytää ne

Siri

Tuki maksusovellusten maksujen maksamista ja tarkistamista varten

Tuki aikataulujen ajamiseen varauspalveluilla

Tuki autojen polttoainetasojen tarkastamiseen, lukitustilaan, valojen päällekytkentään ja aktivointikynnykseen automaker-sovelluksilla

Kriketin urheilutulokset ja tilastot Intian valioliigaan ja kansainväliseen krikettikuntaan

CarPlay

Tilarivin pikavalinnat helpottavat viimeisten käytettyjen sovellusten käyttöä

Apple Music Now Playing -näytössä on pääsy Up Next -soittimeen ja toistettavan kappaleen albumiin

Päivittäiset soittolistat ja uudet musiikkiluokat Apple Musicissa

Muut parannukset ja korjaukset

Vuokraa kerran ja katsele iTunes-elokuvia laitteillasi

Uudet asetukset yhdistynyt näkymä Apple ID -tiliisi, asetukset ja laitteet

Tunneittainen sää Kartat 3D: n avulla Kosketa näytössä olevaa lämpötilaa

Tuki "parkkitun auton" hakuun Mapsissa

Kalenteri lisää mahdollisuuden poistaa ei-toivotun kutsun ja raportoida sen roskakoriin

Kotisovelluksen tuki laukaisee kohtauksia lisävarusteilla, joissa on kytkimet ja painikkeet

Koti-sovellus tukee akun varaustilaa

Podcastit tukevat 3D Touch- ja Today-widgetiä, jotta voit käyttää äskettäin päivitettyjä esityksiä

Podcast-ohjelmat tai jaksoja voidaan jakaa viesteihin, joissa on täydellinen toistotuki

Korjaa ongelma, joka voi estää Kartat näyttämästä nykyistä sijaintiasi sijainnin ja tietosuojan palauttamisen jälkeen

VoiceOverin vakausparannukset puhelimeen, Safariin ja Mailiin

Tietoturvapäivitysten ja korjausten luettelo on pidempi ja vähemmän mielenkiintoinen. Täällä he ovat:

tilit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Käyttäjä voi ehkä katsoa Apple ID -näytön lukitusruudulta

Kuvaus: Kiireellinen hallintaongelma ratkaistiin poistamalla iCloud-todennuspyynnöt lukitustilasta.

CVE-2017-2397: Suprovici Vadim UniApps-tiimistä, nimettömästä tutkijasta

Audio

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen äänitiedoston käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2430: nimetön tutkija, joka työskentelee Trend Micron Zero Day Initiativen kanssa

CVE-2017-2462: nimetön tutkija, joka työskentelee Trend Microin Zero Day Initiativen kanssa

hiili

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen muotoillun .dfont-tiedoston käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Fonttiedostojen käsittelyssä oli puskurin ylivuoto. Tätä ongelmaa käsiteltiin parantamalla rajojen tarkistamista.

CVE-2017-2379: Tencent Security Platform -yksikön John Villamil, Doyensec, riusksk (泉 哥)

CoreGraphics

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kuvan käsitteleminen voi johtaa palvelun epäämiseen

Kuvaus: ääretön rekursiota käsiteltiin parannetun valtionhallinnan avulla.

CVE-2017-2417: Tencent Security Platform -yksikön riusksk (泉 哥)

CoreGraphics

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Useita muistin vioittumisongelmia käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2444: Mei Wang, 360 GearTeam

CoreTextin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kirjasintatiedoston käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2435: John Villamil, Doyensec

CoreTextin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kirjasimen käsittely voi johtaa prosessimuistin paljastumiseen

Kuvaus: Ulkopuolen lukemista käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2450: John Villamil, Doyensec

CoreTextin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen tekstiviestin käsitteleminen saattaa johtaa palvelun käytön epäämiseen

Kuvaus: Resurssien sammumisongelmia käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2461: IDAoADI Isaac Archambault, nimettömänä tutkijana

DataAccess

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Exchange-tilin määrittäminen väärän sähköpostiosoitteen avulla voi ratkaista odottamattoman palvelimen

Kuvaus: Exchange-sähköpostiosoitteiden käsittelyssä oli tulosvarmistusongelma. Tätä ongelmaa käsiteltiin parannetun panoksen validoinnin avulla.

CVE-2017-2414: Ilya Nesterov ja Maxim Goncharov

FontParser

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kirjasintatiedoston käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Useita muistin vioittumisongelmia käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2487: Tencent Security Platform -yksikön riusksk (泉 哥)

CVE-2017-2406: Tencent Security Platform -yksikön riusksk (泉 哥)

FontParser

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kirjasintatiedoston jäsentäminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen

Kuvaus: Useita muistin vioittumisongelmia käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2407: Tencent Security Platform -yksikön riusksk (泉 哥)

FontParser

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kirjasimen käsittely voi johtaa prosessimuistin paljastumiseen

Kuvaus: Ulkopuolen lukemista käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: kodinhallinta voi näkyä yllättäen Control Centerissä

Kuvaus: Kotivalvontaa käsiteltäessä oli tilannekysymys. Asiaa käsiteltiin parannetun validoinnin avulla.

CVE-2017-2434: Intian Suyash Narain

HTTPProtocol

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallinen HTTP / 2-palvelin saattaa aiheuttaa määrittelemättömän käyttäytymisen

Kuvaus: useita ongelmia esiintyi nghttp2: ssa ennen 1.17.0. Niitä käsiteltiin päivittämällä LibreSSL versioon 1.17.0.

CVE-2017-2428

ImageIO

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kuvan käsitteleminen voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2416: Qidan He (何 淇 丹, @flanker_hqd) KeenLabista, Tencentistä

ImageIO

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen JPEG-tiedoston katsominen voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2432: nimetön tutkija, joka työskentelee Trend Microin Zero Day Initiativen kanssa

ImageIO

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen tiedoston käsitteleminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2467

ImageIO

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen kuvan käsitteleminen voi johtaa sovelluksen odottamattomaan lopettamiseen

Kuvaus: Libtiff-versiot ennen 4.0.7 olivat olemassa. Tätä käsiteltiin päivittämällä LibTIFF Imageio-versio versioon 4.0.7.

CVE-2016-3619

iTunes Store

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: hyökkääjä etuoikeutetussa verkkoasennossa voi kyseenalaistaa iTunes-verkkoliikenteen

Kuvaus: iTunes-hiekkalaatikkopalvelujen pyynnöt lähetettiin selkeästi. Tämä ratkaistiin ottamalla käyttöön HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2398: Lufeng Li of Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li Qihoo 360 Vulcan -joukkueesta

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Täydellistä ylivuotoa käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2440: nimetön tutkija

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallinen sovellus voi pystyä suorittamaan mielivaltaisen koodin root-oikeuksilla

Kuvaus: Kilpailutila käsiteltiin parannetun muistin käsittelyn avulla.

CVE-2017-2456: Google Project Zero: n lokihardt

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Käyttö ilmaisen julkaisun jälkeen käsiteltiin parannetun muistinhallinnan avulla.

CVE-2017-2472: Ian Beer of Google Project Zero

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallinen sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2473: Ian Beer, Google Project Zero

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Yksittäinen ongelma käsiteltiin parannetun raja-arvojen tarkistuksen avulla.

CVE-2017-2474: Ian Beer of Google Project Zero

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Kilpailutilaa käsiteltiin parannetun lukituksen avulla.

CVE-2017-2478: Ian Beer of Google Project Zero

Ydin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Puskurin ylivuoto -ongelma ratkaistiin parannetun muistinhallinnan avulla.

CVE-2017-2482: Ian Beer, Google Project Zero

CVE-2017-2483: Ian Beer of Google Project Zero

näppäimistöt

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin

Kuvaus: Puskurin ylivuoto osoitettiin parannettujen rajojen tarkistuksen avulla.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Paikallinen hyökkääjä voi muuttaa tiedostojärjestelmän oikeuksia mielivaltaisiin hakemistoihin

Kuvaus: Symlinksien käsittelyssä oli validointikysymys. Tämä ongelma käsiteltiin symlinksien paremman validoinnin avulla.

CVE-2017-2390: enSilo Oy Omer Medan

libc ++ abi

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen C ++-sovelluksen kutistaminen voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Käyttö ilmaisen julkaisun jälkeen käsiteltiin parannetun muistinhallinnan avulla.

CVE-2017-2441

Pahvi

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: henkilö, jolla on fyysinen pääsy iOS-laitteeseen, voi lukea pahvilaatua

Kuvaus: Taulukko on salattu avaimella, joka on suojattu vain laitteiston UID: llä. Tämä ongelma ratkaistiin salaamalla pahvilaatikko, jonka suojaama laitteisto-UID ja käyttäjän salasana.

CVE-2017-2399

Puhelin

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: kolmannen osapuolen sovellus voi aloittaa puhelun ilman käyttäjän vuorovaikutusta

Kuvaus: IOS: ssa esiintyi ongelma, joka mahdollistaa puhelut pyytämättä. Tämä ongelma on ratkaistu kehottamalla käyttäjää vahvistamaan puhelun aloittaminen.

CVE-2017-2484

Profiilit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Hyökkääjä voi kyetä hyödyntämään heikkouksia DES-salausalgoritmissa

Kuvaus: Tuki 3DES-salausalgoritmille lisättiin SCEP-asiakkaalle ja DES hylättiin.

CVE-2017-2380: nimetön tutkija

Nopea vilkaisu

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: PDF-asiakirjan telilinkin napauttaminen voi käynnistää puhelun pyytämättä käyttäjää

Kuvaus: Puhelimen URL-osoitteen tarkistaminen ennen puhelun aloittamista oli ongelma. Tämä ongelma käsiteltiin lisäämällä vahvistusvihje.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen verkkosivuston vierailu voi johtaa osoiterivin huijaamiseen

Kuvaus: Valtionhallintaongelmaa käsiteltiin poistamalla tekstinsyöttö, kunnes kohdesivu ladataan.

CVE-2017-2376: anonyymi tutkija, Google Inc: n Michal Zalewski, Recruit Technologies Co., Ltd: n Muneaki Nishimura (nishimunea), anonyymi tutkija Chris Hlady, nimetty tutkija Yuyang Zhou Tencent Security Platform -toimistosta (security. tencent.com)

Safari

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Paikallinen käyttäjä voi löytää sivustoja, joita käyttäjä on käynyt yksityisessä selaimessa

Kuvaus: SQLite-poistamisessa esiintyi ongelma. Tätä ongelmaa käsiteltiin parantamalla SQLite-puhdistusta.

CVE-2017-2384

Safari

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi olla todennuslehtisiä mielivaltaisille verkkosivustoille

Kuvaus: HTTP-todennuksen käsittelyssä esiintyi huijauksen ja palvelunestohyökkäyksen ongelma. Tämä ongelma käsiteltiin tekemällä HTTP-todennusarkit muokkaaviksi.

CVE-2017-2389: Tencent Security Response Centerin ShenYeYinJiu, TSRC

Safari

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen sivuston vieraileminen klikkaamalla linkkiä voi johtaa käyttöliittymän huijaukseen

Kuvaus: FaceTime-ohjeiden käsittelyssä esiintyi huijausongelma. Tätä ongelmaa käsiteltiin parannetun panoksen validoinnin avulla.

CVE-2017-2453: Tencentin Xuanwu Labin xisigr (tencent.com)

Safari Reader

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Safari Reader -toiminnon ottaminen käyttöön haitallisen verkkosivun avulla voi johtaa yleisten sivustojen komentosarjoihin

Kuvaus: Useita validointikysymyksiä käsiteltiin parannetun syöttötapojen avulla.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Cache-tilaa ei säilytetä synkronisesti Safarin ja SafariViewControllerin välillä, kun käyttäjä tyhjentää Safarin välimuistin

Kuvaus: Safari-välimuistitietojen poistaminen SafariViewControllerista poistui ongelmasta. Tämä ongelma ratkaistiin parantamalla välimuistin tilan käsittelyä.

CVE-2017-2400: Abhinav Bansal of Zscaler, Inc.

turvallisuus

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: SecKeyRawVerify (): n tyhjien allekirjoitusten vahvistaminen voi yllättäen onnistua

Kuvaus: Validointiongelma esiintyi kryptografisilla API-puheluilla. Tämä ongelma käsiteltiin parantamalla parametrien validointia.

CVE-2017-2423: nimetön tutkija

turvallisuus

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: hyökkääjä, jolla on etuoikeutettu verkkoasema, voi kaapata tai muokata tietoja SSL / TLS: n suojaamissa istunnoissa

Kuvaus: Tietyissä olosuhteissa Secure Transport epäonnistui vahvistamaan OTR-pakettien aitouden. Tämä ongelma käsiteltiin palaamalla puuttuvat validointivaiheet.

CVE-2017-2448: Alex Radocea, Longterm Security, Inc.

turvallisuus

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin root-oikeuksilla

Kuvaus: Puskurin ylivuoto osoitettiin parannettujen rajojen tarkistuksen avulla.

CVE-2017-2451: Alex Radocea, Longterm Security, Inc.

turvallisuus

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen x509-sertifikaatin käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Tätä ongelmaa käsiteltiin parannetun panoksen validoinnin avulla.

CVE-2017-2485: Aleksandar Nikolic Cisco Talosta

Siri

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Siri saattaa paljastaa tekstiviestin sisällön, kun laite on lukittu

Kuvaus: Riittämätön lukitusongelma käsiteltiin parannetun valtionhallinnan avulla.

CVE-2017-2452: Hunter Byrnes

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen linkin vetäminen ja pudottaminen voi johtaa kirjanmerkin väärinkäyttöön tai mielivaltaiseen koodin suorittamiseen

Kuvaus: Kirjanmerkkien luomisessa oli validointiongelma. Tätä ongelmaa käsiteltiin parannetun panoksen validoinnin avulla.

CVE-2017-2378: Tencentin Xuanwu Labin xisigr (tencent.com)

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen verkkosivuston vierailu voi johtaa osoiterivin huijaamiseen

Kuvaus: Epäyhtenäinen käyttöliittymäongelma käsiteltiin parannetun valtionhallinnan avulla.

CVE-2017-2486: valon hidastuminen4

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi purkaa datan ristikkäistä alkuperää

Kuvaus: prototyypin käyttöongelmaa käsiteltiin parantamalla poikkeusten käsittelyä.

CVE-2017-2386: André Bargull

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Useita muistin vioittumisongelmia käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Useita muistin vioittumisongelmia käsiteltiin parantamalla muistin käsittelyä.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric, Google Project Zero

CVE-2017-2455: Ivan Fratric Google Project Zero -ohjelmasta

CVE-2017-2457: Google Project Zero -hankkeen lokihardt

CVE-2017-2459: Ivan Fratric of Google Project Zero

CVE-2017-2460: Ivan Fratric of Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich, Google Project Zero

CVE-2017-2465: Zheng Huang ja Wei Yuan Baidu Security Labista

CVE-2017-2466: Ivan Fratric of Google Project Zero

CVE-2017-2468: Google Project Zero: n lokihardt

CVE-2017-2469: Google Project Zero -hankkeen lokihardt

CVE-2017-2470: Google Project Zero: n lokihardt

CVE-2017-2476: Ivan Fratric of Google Project Zero

CVE-2017-2481: 0011 työskentelee Trend Microin Zero Day Initiativen kanssa

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Tyypin sekaannuskysymystä käsiteltiin parannetun muistinhallinnan avulla.

CVE-2017-2415: Tencentin Xuanwu Labin Kai Kang (tentcent.com)

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi johtaa yllättäen pakottamattomaan sisältöturvallisuuskäytäntöön

Kuvaus: Käyttöoikeusongelma oli sisällön tietoturvapolitiikassa. Tätä ongelmaa käsiteltiin parantamalla käyttörajoituksia.

CVE-2017-2419: Nicolai Grødum, Cisco Systems

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi johtaa korkeaan muistin kulutukseen

Kuvaus: Hallitsematon resurssien kulutuksen ongelma käsiteltiin parantamalla regex-käsittelyä.

CVE-2016-9643: Gustavo Grieco

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa prosessimuistin paljastamiseen

Kuvaus: OpenGL-varjoaineiden käsittelyssä oli tietojen paljastumisongelma. Tätä ongelmaa käsiteltiin parantamalla muistinhallintaa.

CVE-2017-2424: Paul Thomson (käyttäen GLFuzz-työkalua) Multicore-ohjelmointiryhmä, Imperial College London

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2433: Apple

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi purkaa datan ristikkäistä alkuperää

Kuvaus: Sivunlatauksen käsittelyssä oli useampia vahvistusongelmia. Tätä kysymystä käsiteltiin parannetun logiikan avulla.

CVE-2017-2364: Google Project Zero -ohjelman lokihardt

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallinen verkkosivusto voi purkaa tietoja ristikkäisiksi

Kuvaus: Sivun lataamisen käsittelyssä oli olemassa validointiongelma. Tätä kysymystä käsiteltiin parannetun logiikan avulla.

CVE-2017-2367: Google Project Zero: n lokihardt

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi johtaa yleisten verkkosivustojen komentojen tekoon

Kuvaus: Kehyskohteiden käsittelyssä esiintyi logiikkaongelma. Tätä kysymystä käsiteltiin parantamalla valtionhallintoa.

CVE-2017-2445: Google Project Zero: n lokihardt

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Looginen ongelma esiintyi tiukkojen tilatoimintojen käsittelyssä. Tätä kysymystä käsiteltiin parantamalla valtionhallintoa.

CVE-2017-2446: Natalie Silvanovich, Google Project Zero

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen verkkosivuston vierailu saattaa vaarantaa käyttäjän tiedot

Kuvaus: Memory corruption -ongelma ratkaistiin parannetun muistinhallinnan avulla.

CVE-2017-2447: Natalie Silvanovich, Google Project Zero

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Käyttö ilmaisen julkaisun jälkeen käsiteltiin parannetun muistinhallinnan avulla.

CVE-2017-2471: Ivan Fratric of Google Project Zero

WebKit

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi johtaa yleisten verkkosivustojen komentojen tekoon

Kuvaus: Kehyksessä käsiteltiin logiikkaa. Tätä kysymystä käsiteltiin parantamalla valtionhallintoa.

CVE-2017-2475: Google Project Zero -ohjelmaa

WebKit JavaScript-sidonta

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsitteleminen voi purkaa datan ristikkäistä alkuperää

Kuvaus: Sivunlatauksen käsittelyssä oli useampia vahvistusongelmia. Tätä kysymystä käsiteltiin parannetun logiikan avulla.

CVE-2017-2442: Google Project Zero: n lokihardt

WebKit Web Inspector

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Jos ikkuna suljetaan pysäytettynä virheenkorjauksessa, se voi johtaa sovelluksen odottamattomaan lopettamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Saatavana: iPhone 5 ja uudemmat, iPad 4th sukupolvi ja myöhempi, iPod touch 6. sukupolvi ja myöhempi

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaiseen koodin suorittamiseen

Kuvaus: Muistionväärinkäytön ongelma käsiteltiin parannetun tulosvahvistuksen avulla.

CVE-2017-2405: Apple

johtopäätös

Tämän viimeisen merkittävän päivityksen myötä Apple suunnittelee keskittyvänsä seuraaviin merkittäviin julkaisuihin, iOS 11; huolimatta mahdollisista ennakoimattomista ongelmista APFS-päivityksen kanssa. Odotamme todennäköisesti iOS 11: n ensimmäistä esikatselua yhtiön vuosittaisessa kehittäjien konferenssissa WWDC. Kuten sanoin aiemmin, olen henkilökohtaisesti ollut tyytyväinen iOS: iin, koska vaihdoin iPhoneen. Alusta "toimii vain" tarkoitetulla tavalla ja vakaus on pysynyt ylläpitäjänä jokaisen käyttöjärjestelmän tarkistuksen suhteen. Olen varma, että se muuttuu, kun iPhonen iät vanhentuvat ja uudet, entistä paremmat ominaisuudet alkavat näkyä tulevissa tarkistuksissa. Nyt kaikki on hyvä.

Kokemuksesi saattaa olla päinvastainen, joten kerro meille, mitä mieltä olet uudesta päivityksestä. Kaikki piilotetut jalokivet, ongelmat tai suorituskyvyn parannukset?