103
Zobrazení
Společnost Apple vydala nejnovější a nejpravděpodobnější finální aktualizaci údržby svého mobilního operačního systému iOS 10.3. Vydání je hlavní revizí, která zahrnuje zbrusu nový systém souborů. Z tohoto důvodu vám doporučujeme před instalací zálohujte. Kromě nového zdokonalení systému souborů - který přesouvá všechna vaše data ze starého HFS + do APFS (přečtěte si náš předchozí příspěvek, pokud vás zajímá “Co je APFS?“) - iOS 10.3 také obsahuje vylepšenou podporu pro luxusní bezdrátová sluchátka Apple, díky nimž je snadnější najít pomocí nové funkce Najděte Moje AirPods funkce. Tato aktualizace zahrnuje velkou sbírku změn v zákulisí, které se většinou týkají tvůrců aplikace. Například App Store nyní umožní vývojářům reagovat na recenze zákazníků poprvé. Fanoušci kriketu se mohou těšit na použití Siri ke kontrole sportovních výsledků a statistik Indické Premier League a Mezinárodní kriketové rady.
Poslední aktualizace pro iOS 10 přišla s 10.2.1 aktualizace v lednu 2017; předchází 10.2 v prosinci 2016 a
Nyní, na část, na kterou jste všichni čekali: Měli byste upgradovat? Ano, jedná se o aktualizaci údržby a všichni víme, jak důležité jsou, zejména pro bezpečnost.
Uživatelé systému iOS musí přistupovat k tomuto problému s trochou opatrnosti kvůli zásadním změnám, jako je například aktualizace systému souborů. Chcete-li přepnout zařízení na APFS, musí se vaše zařízení iOS v podstatě samo očistit a přeformátovat. To vše se stane v zákulisí, ale s touto aktualizací je riziko ztráty dat vyšší.
Aktualizace systému iOS 10.3 je velmi robustní a váží přibližně 611 MB. Uživatelé si mohou stáhnout nejnovější aktualizaci systému iOS spuštěním Nastavení> Obecné> Aktualizace softwaru. Trvalo mi 15 minut, než jsem si stáhl a nainstaloval iOS 10.3 na iPhone 6s. Přestože se jedná o doporučenou aktualizaci, ujistěte se, že zálohu provedete jen pro případ. 
Jako vždy, není na škodu čekat, až uvidíme, jak dobře velký ekosystém Apple zvládne nejnovější verzi. Vnitřní vývojové procesy společnosti Apple jsou v současnosti sladěny napříč skupinami produktů. Společnost Apple také vydala aktualizace pro další platformy společnosti, jako jsou macOS, watchOS, tvOS a CarPlay. Ujistěte se tedy, že jste je také chytili pro optimální zážitek, pokud jste silně investováni do ekosystému Apple. Mezitím je zde uveden obvyklý seznam oprav chyb a aktualizací zabezpečení:
Seznam bezpečnostních oprav a oprav je delší a méně zajímavý. Zde jsou:
Účty
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Uživatel může mít možnost zobrazit Apple ID z obrazovky zámku
Popis: Problém s rychlou správou byl vyřešen odstraněním výzev k ověření iCloud z obrazovky zámku.
CVE-2017-2397: Suprovici Vadim týmu UniApps, anonymní výzkumník
Zvuk
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného zvukového souboru může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2430: anonymní výzkumník pracující s iniciativou Zero Day Initiative společnosti Trend Micro
CVE-2017-2462: anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro
Uhlík
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného souboru .dfont může vést ke spuštění libovolného kódu
Popis: Při manipulaci se soubory písem existovalo přetečení vyrovnávací paměti. Tento problém byl vyřešen vylepšenou kontrolou mezí.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉 哥) oddělení bezpečnostní platformy Tencent
CoreGraphics
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného obrazu může vést k odmítnutí služby
Popis: Nekonečná rekurze byla řešena zlepšenou státní správou.
CVE-2017-2417: riusksk (泉 哥) oddělení platformy Tencent Security Platform
CoreGraphics
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Více problémů s poškozením paměti bylo řešeno prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2444: Mei Wang z 360 GearTeam
CoreText
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného souboru písma může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2435: John Villamil, Doyensec
CoreText
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného písma může vést k odhalení procesní paměti
Popis: Čtení mimo hranice bylo vyřešeno vylepšenou validací vstupu.
CVE-2017-2450: John Villamil, Doyensec
CoreText
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořené textové zprávy může vést k odmítnutí aplikace
Popis: Problém s vyčerpáním prostředků byl vyřešen zlepšením ověření vstupu.
CVE-2017-2461: Isaac Archambault z IDAoADI, anonymního vědce
Přístup k datům
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Konfigurace účtu Exchange s chybně zadanou e-mailovou adresou může vyřešit neočekávaný server
Popis: Při zpracování e-mailových adres Exchange došlo k problému s ověřením vstupu. Tento problém byl vyřešen zlepšením ověření vstupu.
CVE-2017-2414: Ilya Nesterov a Maxim Goncharov
FontParser
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného souboru písma může vést ke spuštění libovolného kódu
Popis: Více problémů s poškozením paměti bylo řešeno prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2487: riusksk (泉 哥) oddělení platformy Tencent Security Platform
CVE-2017-2406: riusksk (泉 哥) oddělení platformy Tencent Security Platform
FontParser
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Analýza škodlivě vytvořeného souboru písma může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu
Popis: Více problémů s poškozením paměti bylo řešeno prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2407: riusksk (泉 哥) oddělení platformy Tencent Security Platform
FontParser
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného písma může vést k odhalení procesní paměti
Popis: Čtení mimo hranice bylo vyřešeno vylepšenou validací vstupu.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: V Control Center se může neočekávaně objevit domácí kontrola
Popis: Při zpracování Home Control existoval problém se stavem. Tento problém byl vyřešen vylepšenou validací.
CVE-2017-2434: Suyash Narain z Indie
HTTPProtocol
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Škodlivý server HTTP / 2 může být schopen způsobit nedefinované chování
Popis: V nghttp2 existovalo před 1.17.0 více problémů. Byly vyřešeny aktualizací LibreSSL na verzi 1.17.0.
CVE-2017-2428
ImageIO
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného obrazu může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2416: Qidan He (何 淇 丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Prohlížení škodlivě vytvořeného souboru JPEG může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2432: anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti Trend Micro
ImageIO
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného souboru může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2467
ImageIO
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného obrazu může vést k neočekávanému ukončení aplikace
Popis: Ve verzi LibTIFF existovalo před 4.0.7 nepřečtené čtení. To bylo vyřešeno aktualizací LibTIFF v ImageIO na verzi 4.0.7.
CVE-2016-3619
iTunes store
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Útočník v privilegované poloze v síti může být schopen manipulovat se síťovým přenosem iTunes
Popis: Žádosti o webové služby karantény iTunes byly odeslány v čistém textu. To bylo vyřešeno povolením HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2398: Lufeng Li z vulkánského týmu Qihoo 360
CVE-2017-2401: Lufeng Li z týmu Qihoo 360 Vulcan
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Celočíselné přetečení bylo vyřešeno vylepšenou validací vstupu.
CVE-2017-2440: anonymní výzkumný pracovník
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Škodlivá aplikace může být schopna spustit libovolný kód s oprávněním root
Popis: Závod byl řešen zlepšeným zpracováním paměti.
CVE-2017-2456: lokihardt Google Project Zero
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Použití po bezplatném vydání bylo řešeno pomocí vylepšené správy paměti.
CVE-2017-2472: Ian Beer projektu Google Nula
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Škodlivá aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2473: Ian Beer projektu Google Nula
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Problém typu „jeden po druhém“ byl vyřešen vylepšenou kontrolou mezí.
CVE-2017-2474: Ian Beer projektu Google Nula
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Závod byl řešen zlepšeným zamykáním.
CVE-2017-2478: Ian Beer projektu Google Nula
Jádro
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s právy jádra
Popis: Problém přetečení vyrovnávací paměti byl vyřešen zlepšeným zpracováním paměti.
CVE-2017-2482: Ian Beer projektu Google Nula
CVE-2017-2483: Ian Beer projektu Google Nula
Klávesnice
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód
Popis: Přetečení vyrovnávací paměti bylo řešeno vylepšenou kontrolou hranic.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Místní útočník může být schopen změnit oprávnění systému souborů na libovolných adresářích
Popis: Při zpracování symbolických odkazů existoval problém s ověřením. Tento problém byl vyřešen vylepšenou validací symbolických odkazů.
CVE-2017-2390: Omer Medan ze společnosti enSilo Ltd
libc ++ abi
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Vymezení škodlivé aplikace C ++ může vést ke spuštění libovolného kódu
Popis: Použití po bezplatném vydání bylo řešeno pomocí vylepšené správy paměti.
CVE-2017-2441
Lepenka
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Osoba s fyzickým přístupem k zařízení iOS může číst karton
Popis: Lepenka byla šifrována pomocí klíče chráněného pouze hardwarovým identifikátorem UID. Tento problém byl vyřešen zašifrováním lepenky klíčem chráněným hardwarovým identifikátorem UID a přístupovým kódem uživatele.
CVE-2017-2399
Telefon
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace třetí strany může zahájit telefonní hovor bez zásahu uživatele
Popis: V systému iOS se vyskytl problém umožňující volání bez výzvy. Tento problém byl vyřešen výzvou uživateli k potvrzení zahájení hovoru.
CVE-2017-2484
Profily
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Útočník může využít slabiny v kryptografickém algoritmu DES
Popis: Podpora pro kryptografický algoritmus 3DES byla přidána do klienta SCEP a DES byl zastaralý.
CVE-2017-2380: anonymní výzkumný pracovník
Rychlý pohled
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Klepnutím na tel. Spojení v dokumentu PDF můžete zahájit hovor bez výzvy uživatele
Popis: Při kontrole tel URL před zahájením hovoru došlo k potížím. Tento problém byl vyřešen přidáním výzvy k potvrzení.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Austrálie), Christoph Nehring
Safari
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Návštěva škodlivého webu může vést k spoofingu adresního řádku
Popis: Problém správy stavu byl vyřešen zakázáním zadávání textu, dokud se nenačítala cílová stránka.
CVE-2017-2376: anonymní výzkumník, Michal Zalewski z Google Inc, Muneaki Nishimura (nishimunea) společnosti Recruit Technologies Co., Ltd., Chris Hlady z Google Inc, anonymní výzkumník, Yuyang Zhou z oddělení bezpečnostní platformy Tencent (security.tencent.com)
Safari
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Místní uživatel může zjistit webové stránky, které uživatel navštívil v soukromém prohlížení
Popis: Při odstraňování SQLite došlo k problému. Tento problém byl vyřešen prostřednictvím vylepšeného vyčištění SQLite.
CVE-2017-2384
Safari
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného webového obsahu může na libovolných webových stránkách představovat ověřovací listy
Popis: Při zpracování ověřování HTTP existoval problém spoofingu a odmítnutí služby. Tento problém byl vyřešen tím, že HTTP autentizační listy byly nemodální.
CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC
Safari
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Návštěva škodlivého webu klepnutím na odkaz může vést ke spoofingu uživatelského rozhraní
Popis: Při zpracování výzev FaceTime se vyskytl problém s podvržením. Tento problém byl vyřešen zlepšením ověření vstupu.
CVE-2017-2453: xisigr laboratoře Xuanwu v Tencentu (tencent.com)
Safari Reader
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Povolení funkce aplikace Safari Reader na škodlivě vytvořené webové stránce může vést k univerzálnímu skriptování mezi weby.
Popis: Více problémů s validací bylo řešeno zlepšenou dezinfekcí vstupů.
CVE-2017-2393: Erling Ellingsen
SafariViewController
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Stav mezipaměti není správně udržován v synchronizaci mezi Safari a SafariViewController, když uživatel smaže mezipaměť Safari
Popis: Při mazání informací mezipaměti Safari z SafariViewController došlo k potížím. Tento problém byl vyřešen zlepšením zpracování stavu mezipaměti.
CVE-2017-2400: Abhinav Bansal ze společnosti Zscaler, Inc.
Bezpečnostní
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Ověření prázdných podpisů pomocí SecKeyRawVerify () může být neočekávaně úspěšné
Popis: U kryptografických volání API existoval problém ověření. Tento problém byl vyřešen vylepšeným ověřením parametrů.
CVE-2017-2423: anonymní výzkumný pracovník
Bezpečnostní
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Útočník s privilegovanou polohou v síti může zaznamenávat nebo upravovat data v relacích chráněných SSL / TLS
Popis: Za určitých okolností se Secure Transport nepodařilo ověřit pravost paketů OTR. Tento problém byl vyřešen obnovením chybějících kroků ověření.
CVE-2017-2448: Alex Radocea z Longterm Security, Inc.
Bezpečnostní
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Aplikace může být schopna spustit libovolný kód s oprávněním root
Popis: Přetečení vyrovnávací paměti bylo řešeno vylepšenou kontrolou hranic.
CVE-2017-2451: Alex Radocea z Longterm Security, Inc.
Bezpečnostní
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného certifikátu x509 může vést ke spuštění libovolného kódu
Popis: Při analýze certifikátů existoval problém poškození paměti. Tento problém byl vyřešen zlepšením ověření vstupu.
CVE-2017-2485: Aleksandar Nikolic z Cisco Talos
Siri
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Siri může odhalit obsah textových zpráv, když je zařízení uzamčeno
Popis: Při zlepšené správě stavu byl vyřešen nedostatečný problém se zamykáním.
CVE-2017-2452: Hunter Byrnes
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Přetažení nebezpečně vytvořeného odkazu přetažením může vést ke spoofingu záložek nebo ke spuštění libovolného kódu.
Popis: Při vytváření záložek existoval problém ověření. Tento problém byl vyřešen zlepšením ověření vstupu.
CVE-2017-2378: xisigr společnosti Xuanwu Lab v Tencentu (tencent.com)
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Návštěva škodlivého webu může vést k spoofingu adresního řádku
Popis: Nekonzistentní problém uživatelského rozhraní byl vyřešen zlepšenou správou stavu.
CVE-2017-2486: redrain of light4freedom
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může exfiltrovat křížový původ dat
Popis: Problém přístupu prototypu byl vyřešen zlepšeným zpracováním výjimek.
CVE-2017-2386: André Bargull
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Více problémů s poškozením paměti bylo řešeno prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Více problémů s poškozením paměti bylo vyřešeno vylepšeným zpracováním paměti.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z Google Project Zero
CVE-2017-2455: Ivan Fratric z Google Project Zero
CVE-2017-2457: lokihardt Google Project Zero
CVE-2017-2459: Ivan Fratric z Google Project Zero
CVE-2017-2460: Ivan Fratric z Google Project Zero
CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero
CVE-2017-2465: Zheng Huang a Wei Yuan z Baidu Security Lab
CVE-2017-2466: Ivan Fratric z projektu Google Zero
CVE-2017-2468: lokihardt Google Project Zero
CVE-2017-2469: lokihardt Google Project Zero
CVE-2017-2470: lokihardt Google Project Zero
CVE-2017-2476: Ivan Fratric z Google Project Zero
CVE-2017-2481: 0011 práce s iniciativou Trend Micro Zero Day Initiative
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Problém se zmatením typu byl vyřešen zlepšeným zpracováním paměti.
CVE-2017-2415: Kai Kang z laboratoře Xuanwu v Tencentu (tentcent.com)
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování zlomyslně vytvořeného webového obsahu může vést k neočekávaně nevynuceným zásadám zabezpečení obsahu
Popis: V zásadách zabezpečení obsahu existoval problém s přístupem. Tento problém byl vyřešen prostřednictvím vylepšených omezení přístupu.
CVE-2017-2419: Nicolai Grødum ze společnosti Cisco Systems
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného webového obsahu může vést k vysoké spotřebě paměti
Popis: Problém nekontrolované spotřeby prostředků byl vyřešen zlepšeným zpracováním regexu.
CVE-2016-9643: Gustavo Grieco
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného webového obsahu může vést k odhalení procesní paměti
Popis: Při zpracování shaderu OpenGL existoval problém s odhalením informací. Tento problém byl vyřešen vylepšenou správou paměti.
CVE-2017-2424: Paul Thomson (pomocí nástroje GLFuzz) Multicore Programming Group, Imperial College London
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2433: Apple
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může exfiltrovat křížový původ dat
Popis: Při zpracování načítání stránky existovalo více problémů s ověřováním. Tento problém byl vyřešen vylepšenou logikou.
CVE-2017-2364: lokihardt Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Škodlivý web může exfiltrovat křížový původ dat
Popis: Při zpracování načítání stránky existoval problém ověření. Tento problém byl vyřešen vylepšenou logikou.
CVE-2017-2367: lokihardt of Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného webového obsahu může vést k univerzálnímu skriptování mezi weby
Popis: Při manipulaci s rámovými objekty existoval logický problém. Tento problém byl vyřešen zlepšenou státní správou.
CVE-2017-2445: lokihardt Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Při zpracování funkcí přísného režimu existoval logický problém. Tento problém byl vyřešen zlepšenou státní správou.
CVE-2017-2446: Natalie Silvanovich z Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Návštěva škodlivě vytvořeného webu může ohrozit informace o uživateli
Popis: Problém poškození paměti byl vyřešen vylepšeným zpracováním paměti.
CVE-2017-2447: Natalie Silvanovich z Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Použití po bezplatném vydání bylo řešeno pomocí vylepšené správy paměti.
CVE-2017-2471: Ivan Fratric z Google Project Zero
WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování škodlivě vytvořeného webového obsahu může vést k univerzálnímu skriptování mezi weby
Popis: Při zpracování rámců existoval logický problém. Tento problém byl vyřešen zlepšenou státní správou.
CVE-2017-2475: lokihardt Google Project Zero
Vazby JavaScriptu WebKit
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může exfiltrovat křížový původ dat
Popis: Při zpracování načítání stránky existovalo více problémů s ověřováním. Tento problém byl vyřešen vylepšenou logikou.
CVE-2017-2442: lokihardt Google Project Zero
WebKit Web Inspector
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zavření okna během pozastavení v debuggeru může vést k neočekávanému ukončení aplikace
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
K dispozici pro: iPhone 5 a novější, iPad 4. generace a novější, iPod touch 6. generace a novější
Dopad: Zpracování špatně vytvořeného webového obsahu může vést ke spuštění libovolného kódu
Popis: Problém s poškozením paměti byl vyřešen prostřednictvím vylepšeného ověření vstupu.
CVE-2017-2405: Apple
S touto poslední významnou aktualizací se společnost Apple pravděpodobně zaměří na příští hlavní vydání, iOS 11; bez ohledu na možné nepředvídané problémy s aktualizací APFS. Pravděpodobně uvidíme náš první náhled na iOS 11 na každoroční vývojové konferenci společnosti WWDC. Jak jsem již řekl, osobně mě potěšilo iOS od doby, kdy jsem přepnul na iPhone. Platforma „prostě funguje“, jak bylo zamýšleno, a stabilita udržovala krok s každou revizí operačního systému. Jsem si jist, že se to bude měnit s tím, jak můj iPhone bude stárnout a novější, fantasknější funkce se začnou objevovat v budoucích revizích. Prozatím je to všechno dobré.
Vaše zkušenost může být opačná, proto nám dejte vědět, co si myslíte o nové aktualizaci. Máte nějaké skryté drahokamy, problémy nebo vylepšení výkonu?
Postupujte podle našeho jednoduchého průvodce a snadno vytvořte snadno zapamatovatelné a bezpečné heslo.
Pokud již jste odběratelem Hulu (No Ads) a chcete přidat balíček Disney + a ESPN +, můžete. Je to trochu ...
PŘedplatit
YOU MIGHT ALSO LIKE