Apple wydaje iOS 10.3.3 - co obejmuje i czy należy dokonać aktualizacji?

iOS 10.3.3 to prawdopodobnie ostatnia aktualizacja iOS przed wydaniem iOS 11. Nie zbyt ekscytujące, ale zdecydowanie warte pobrania.

Firma Apple dokłada obecnie wszelkich starań, aby opracować następną wersję mobilnego systemu operacyjnego dla iPada i iPhone'a, iOS 11. To powiedziawszy, firma nie zrezygnowała z utrzymywania aktualnej wersji iOS 10. Zbliża się zmierzch tej jesieni, Apple nadal wydaje ważne aktualizacje, najnowszą z nich jest wersja iOS 10.3.3.

Aktualizacja nastąpi wersja 10.3.2, wydany kilka miesięcy temu. Patrząc na stronę zawartości dla iOS 10.3.3, jest to zdecydowanie poprawka błędów i wydanie skoncentrowane na bezpieczeństwie; taki, który na pewno będziesz chciał chwycić natychmiast. Wiele exploitów zostało zamkniętych, w tym: wykonanie dowolnego kodu, przepełnienie bufora, ataki zdalne i kilka innych problemów niskiego poziomu.

Notka redaktora: Pobranie i zainstalowanie iOS 10.3.3 zajęło mi około 20 minut. Co więcej, wydawało mi się, że później odzyskałem około pół gigabajta przestrzeni dyskowej.

Co obejmuje iOS 10.3.3?

Podobnie jak w majowym wydaniu iOS 10.3.2, nie znajdziesz żadnych funkcji skierowanych do użytkownika - tak naprawdę chodzi o to, co jest pod maską. Mając 84 MB, jest to stosunkowo niewielka aktualizacja, która nie powinna stanowić większego problemu dla sieci Wi-Fi. Ale jak w przypadku każdej z tych aktualizacji wykonać szybką kopię zapasową na wypadek, gdyby stało się coś nieoczekiwanego. Niektóre obszary zmodyfikowane przez aktualizację to: Kontakty, CoreAudio, EventkitUI, Kernel, IOUSBFamily, Wiadomości, Powiadomienia, Safari, Telefonia i Webkit. W szczególności Webkit otrzymuje sporo poprawek w iOS 10.3.3.

Aktualizacja iOS 10.3.3 obsługuje urządzenia Apple, takie jak iPhone 5 i nowsze, iPad 4. generacji i nowsze oraz iPod Touch 6. generacji. Możesz pobrać aktualizację, uruchamiając Ustawienia> Ogólne> Aktualizacja oprogramowania> Pobierz i zainstaluj.

Aby uzyskać więcej informacji, oto próbka tego, co zostało naprawione i podłączone w aktualizacji 10.3.3.

Łączność

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

Opis: naprawiono problem przepełnienia bufora poprzez lepszą obsługę pamięci.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie granic.

CVE-2017-7008: Yangkang (@dnpushme) z Qihoo 360 Qex Team

EventKitUI

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: Rozwiązano problem z wyczerpaniem zasobów poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-7007: José Antonio Esteban (@Erratum_) z Sapsi Consultores

IOUSBFamily

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7009: shrek_wzw z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7022: anonimowy badacz

CVE-2017-7024: anonimowy badacz

CVE-2017-7026: anonimowy badacz

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7023: anonimowy badacz

CVE-2017-7025: anonimowy badacz

CVE-2017-7027: anonimowy badacz

CVE-2017-7069: Proteas of Qihoo 360 Nirvan Team

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Aplikacja może być w stanie odczytać ograniczoną pamięć

Opis: Rozwiązano problem z sprawdzaniem poprawności dzięki ulepszonej dezynfekcji danych wejściowych.

CVE-2017-7028: anonimowy badacz

CVE-2017-7029: anonimowy badacz

libarchive

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może spowodować wykonanie dowolnego kodu

Opis: Usunięto przepełnienie bufora poprzez ulepszone sprawdzanie granic.

CVE-2017-7068: znaleziono przez OSS-Fuzz

libxml2

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku

Opis: usunięto błąd odczytu poza zakresem poprzez poprawione sprawdzanie granic.

CVE-2017-7010: Apple

CVE-2017-7013: znaleziony przez OSS-Fuzz

libxpc

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7047: Ian Beer z Google Project Zero

Wiadomości

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: Rozwiązano problem z zużyciem pamięci, poprawiając obsługę pamięci.

CVE-2017-7063: Shashank (@cyberboyIndia)

Powiadomienia

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Wpływ: Powiadomienia mogą pojawić się na ekranie blokady po wyłączeniu

Opis: Rozwiązano problem z blokadą ekranu dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7058: anonimowy badacz

Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do fałszowania paska adresu

Opis: rozwiązano problem niespójnego interfejsu użytkownika w związku z ulepszonym zarządzaniem stanem.

CVE-2017-2517: xisigr z Tenuan's Xuanwu Lab (tencent.com)

Drukowanie w Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do nieskończonej liczby okien dialogowych drukowania

Opis: występował problem polegający na tym, że złośliwa lub zainfekowana witryna internetowa mogła wyświetlać nieskończone okna dialogowe drukowania i przekonać użytkowników, że ich przeglądarka jest zablokowana. Rozwiązanie problemu polegało na ograniczeniu liczby okien dialogowych drukowania.

CVE-2017-7060: Travis Kelley z miasta Mishawaka w stanie Indiana

Telefonia

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieciowej może wykonać dowolny kod

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-8248

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych oraz iPod touch 6. generacji

Zagrożenie: złośliwa witryna może przenosić dane z różnych źródeł

Opis: Przetwarzanie złośliwie spreparowanej treści internetowej może pozwolić na ekstrakcję danych pochodzących z różnych źródeł przy użyciu filtrów SVG w celu przeprowadzenia bocznego kanału atak czasowego. Rozwiązano ten problem, nie malując bufora krzyżowego pochodzenia w ramce, która jest filtrowana.

CVE-2017-7006: anonimowy badacz, David Kohlbrenner z UC San Diego

Źródło

Czy powinieneś uaktualnić do 10.3.3?

Tak! Chodź, spójrz na tę listę - zaoszczędź przez około 20 minut przestoju, pomijanie wszystkich poprawek zabezpieczeń nie przyniesie żadnych korzyści. Ponieważ smartfon staje się naszą najcenniejszą własnością, ze względu na ilość poufnych informacji, które na nim przechowujemy, aktualizowanie go jest naszą najlepszą obroną. Naprawdę nie ma nic do stracenia podczas aktualizacji. Pewnie, możesz poczekać dzień lub dwa, aby zobaczyć, czy pojawią się jakieś raporty dotyczące problemów z aktualizacją. Dla mnie te aktualizacje punktowe dla iOS 10 były dość bezproblemowe.

Jak zawsze, w komentarzach daj nam znać, jak oceniasz swoją nową aktualizację: czy było to powolne, szybkie, czy stało się coś złego, czy po prostu bez przygód?