Apple пуска iOS 10.3.3 - Какво е включено и трябва ли да надстроите?

iOS 10.3.3 вероятно е последната актуализация на iOS преди пускането на iOS 11. Не е твърде вълнуващо, но определено си струва изтеглянето.

В момента Apple полага всички свои усилия за развитие зад следващото издание на своята мобилна операционна система iPad и iPhone, iOS 11. Това каза, че компанията не се е отказала от поддържането на текущата версия, iOS 10. Докато наближава своя залез тази есен, Apple продължава да пуска важни актуализации за нея, като последната е iOS версия 10.3.3.

Следва актуализацията версия 10.3.2, пуснат преди няколко месеца. Преглеждайки страницата със съдържанието за iOS 10.3.3, това определено е отстраняване на грешки и фокусирано върху сигурността; един, който определено ще искате да вземете веднага. Затворени са множество експлоатации, които включват: произволно изпълнение на код, преливане на буфер, отдалечени атаки и няколко други проблеми на ниско ниво.

Бележка на редактора: Отне ми около 20 минути за изтегляне и инсталиране на iOS 10.3.3. Не само това, като че ли след това спечелих около половин гигабайт пространство за съхранение.

Какво е включено в iOS 10.3.3?

Подобно на майската версия на iOS 10.3.2, няма да намерите никакви функции, насочени към потребителя - това наистина се отнася за това, което е под капака. Със 84 MB, това е сравнително малка актуализация, която не би трябвало да е голяма работа за Wi-Fi мрежи. Но както при всяка от тези актуализации, извършете бързо архивиране само в случай, че се случи нещо неочаквано. Някои от областите, променени от актуализацията, включват: Контакти, CoreAudio, EventkitUI, Kernel, IOUSBFamily, Съобщения, Известия, Safari, Телефония и Webkit. В частност Webkit получава доста поправки в iOS 10.3.3.

Актуализацията на iOS 10.3.3 поддържа устройства на Apple като iPhone 5 и по-нови версии, iPad 4-то поколение и по-нова версия и iPod Touch 6-то поколение. Можете да изтеглите актуализацията, като стартирате Настройки> Общи> Актуализация на софтуера> Изтегляне и инсталиране.

За повече подробности, тук е извадка от онова, което е фиксирано и включено в актуализацията 10.3.3.

Контакти

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Отдалечният атакуващ може да бъде в състояние да причини неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Проблемът с препълването на буфера беше решен чрез подобрено управление на паметта.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено създаден филмов файл може да доведе до произволно изпълнение на код

Описание: Проблемът с корупционната памет беше решен с подобрена проверка на границите.

CVE-2017-7008: Yangkang (@dnpushme) на Qihoo 360 Qex Team

EventKitUI

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Отдалечният атакуващ може да причини неочаквано прекратяване на приложението

Описание: Въпросът с изчерпването на ресурсите беше решен чрез подобрена проверка на входа.

CVE-2017-7007: Хосе Антонио Естебан (@Erratum_) от Sapsi Consultores

IOUSBFamily

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код с привилегии на ядрото

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7009: shrek_wzw на Qihoo 360 Nirvan Team

ядро

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код със системни привилегии

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7022: анонимен изследовател

CVE-2017-7024: анонимен изследовател

CVE-2017-7026: анонимен изследовател

ядро

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код с привилегии на ядрото

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7023: анонимен изследовател

CVE-2017-7025: анонимен изследовател

CVE-2017-7027: анонимен изследовател

CVE-2017-7069: Протеи на Qihoo 360 Nirvan Team

ядро

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Приложението може да може да чете памет с ограничен достъп

Описание: Въпросът с валидирането беше разгледан с подобрена санитария на входа.

CVE-2017-7028: анонимен изследовател

CVE-2017-7029: анонимен изследовател

libarchive

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Разпаковането на злонамерено създаден архив може да доведе до произволно изпълнение на код

Описание: Препълването на буфера беше адресирано чрез подобрена проверка на границите.

CVE-2017-7068: намерено от OSS-Fuzz

libxml2

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Разбирането на злонамерено създаден XML документ може да доведе до разкриване на потребителска информация

Описание: Прочетеното извън границите беше адресирано чрез подобрена проверка на границите.

CVE-2017-7010: Apple

CVE-2017-7013: намерено от OSS-Fuzz

libxpc

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код със системни привилегии

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7047: Ian Beer от Google Project Zero

Съобщения

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Отдалечният атакуващ може да причини неочаквано прекратяване на приложението

Описание: Проблемът с потреблението на памет беше решен чрез подобрено управление на паметта.

CVE-2017-7063: Shashank (@cyberboyIndia)

Известия

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Известията могат да се появят на заключения екран, когато са деактивирани

Описание: Проблемът с заключения екран беше решен с подобрено управление на държавата.

CVE-2017-7058: анонимен изследовател

сафари

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Посещението на злонамерен уебсайт може да доведе до подправяне на адресната лента

Описание: Несъответстващ проблем с потребителския интерфейс беше адресиран с подобрено управление на държавата.

CVE-2017-2517: xisigr от Лабораторията на Xuanwu на Tencent (tencent.com)

Сафари печат

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено уеб съдържание може да доведе до неограничен брой диалогови диалогови отпечатъци

Описание: Съществуваше проблем, при който злонамерен или компрометиран уебсайт може да показва безкрайни диалози за печат и да накара потребителите да вярват, че браузърът им е заключен. Проблемът беше решен чрез заглушаване на диалоговите отпечатъци.

CVE-2017-7060: Травис Кели от град Мишавака, Индиана

телефония

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Нападателят в привилегирована мрежова позиция може да може да изпълни произволен код

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-8248

WebKit

Предлага се за: iPhone 5 и по-нови, iPad 4-то поколение и по-нови и iPod touch 6-то поколение

Въздействие: Зловредният уебсайт може да изтълкува данни с различен произход

Описание: Обработването на злонамерено изработено уеб съдържание може да позволи да бъдат ексфилтрирани данни с произход с използване на SVG филтри, за да се извърши атака на страничния канал за синхронизиране. Този проблем беше решен, като не рисувахте буфера с кръстосан произход в рамката, която се филтрира.

CVE-2017-7006: анонимен изследовател, Дейвид Колбренер от UC San Diego

източник

Трябва ли да надстроите до 10.3.3?

Мда! Хайде, вижте този списък - освен за 20 минути престой, няма полза от пропускането на всички тези корекции на сигурността. С превръщането на смартфона в най-ценното ни притежание, поради количеството чувствителна информация, която съхраняваме в него, поддържането му актуализирано е най-добрата ни защита. Наистина няма какво да загубите актуализиране. Разбира се, може да искате да изчакате ден или два, само за да видите дали има отчети, свързани с проблеми с актуализацията. За мен тези актуализации за iOS 10 бяха доста безпроблемни.

Както винаги, уведомете ни в коментарите вашето преживяване с новата актуализация: беше ли бавно, бързо, случи ли се нещо лошо или просто беше безпрепятствено?