Az Apple iOS 11.0.1 kiadása és frissítése most

Az Apple első frissítése a frissen kiadott iOS 11 frissítésnek itt van. Az új frissítés a GM (arany mester) kiadásában talált korai hibákat feloldja. Nincsenek új funkciók, de nagy hangsúlyt fektet a biztonsági problémák megoldására ebben a kiadásban. A frissítés által érintett területek közé tartoznak a Bluetooth, a CFNetwork Proxies, a CoreAudio, az Exchange ActiveSync, a Heimdal, az iBooks, a kernel, a billentyűzet-javaslatok, a libc, a Webkit és egyebek. Tehát erősen ajánlott, hogy ezt a frissítést megragadja, amint csak tud. Az új frissítés mind az iPhone, mind az iPads esetében érvényes.

Mi új az iOS 11.0.1-ben és miért kellene frissíteni?

Az iOS 11.0.1-et támogató eszközöket futtató felhasználóknak azonnal frissíteniük kell a kiadásban szereplő összes biztonsági javítás miatt. A frissítés körülbelül 280 MB-os, ezért viszonylag kicsi, de győződjön meg arról, hogy a letöltés megkezdése előtt csatlakozik egy gyors Wi-Fi-hálózathoz.

Az alábbi változások listája az iOS 11.0.1-ben

Ez az új frissítés úgy tűnik, hogy feltölti a rendszer kritikus területeit, amelyek megakadályozzák a lehetséges távoli támadásokat vagy tetszőleges kódfuttatást. Figyelembe véve, hogy az okostelefonok mindig velünk vannak, nem lehetetlen, hogy valami ilyesmi megtörténhet. Itt találja a következő módosításokat:

Bluetooth

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Az alkalmazás korlátozott fájlokhoz férhet hozzá

Leírás: Az érintkezőkártyák kezelése során adatvédelmi probléma merült fel. Ezzel javult az államigazgatás.

CVE-2017-7131: névtelen kutató, Elvis (@elvisimprsntr), Dominik Conrads szövetségi információbiztonsági hivatal, névtelen kutató

A belépés 2017. szeptember 25-én történt

CFNetwork Proxies

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A kiváltságos hálózati pozícióban lévő támadó esetleg elutasíthatja a szolgáltatást

Leírás: A szolgáltatás többszörös megtagadását javított memóriakezeléssel oldották meg.

CVE-2017-7083: Abhinav Bansal of Zscaler Inc.

A belépés 2017. szeptember 25-én történt

CoreAudio

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Egy alkalmazás képes olvasni a korlátozott memóriát

Leírás: Az Opus 1.1.4-es verzióra való frissítéssel a határon kívüli olvasatot elolvasta.

CVE-2017-0381: VEO (@VYSEa) a Mobil Threat Kutatócsoport, a Trend Micro

A belépés 2017. szeptember 25-én történt

Exchange ActiveSync

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Egy kiváltságos hálózati pozícióban lévő támadó képes lehet törölni egy eszközt az Exchange-fiók beállítása során

Leírás: Valódi érvényesítési probléma létezik az AutoDiscover V1-ben. Ezt a TLS-t az AutoDiscover V1 megkövetelésével oldották meg. Az AutoDiscover V2 már támogatott.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A kiváltságos hálózati pozícióban lévő támadó képes lehet egy szolgáltatás megszemélyesítésére

Leírás: A KDC-REP szolgáltatásnév kezelése során érvényesítési probléma lépett fel. Ezt a problémát javított validálással kezelték.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams

A belépés 2017. szeptember 25-én történt

iBooks

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatúan létrehozott iBooks fájl feldolgozása vezethet végleges megtagadási szolgáltatáshoz

Leírás: A szolgáltatás többszörös megtagadását javított memóriakezeléssel oldották meg.

CVE-2017-7072: Jędrzej Krysztofiak

mag

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Az alkalmazás tetszőleges kódot futtathat a rendszermag kiváltságokkal

Leírás: A memória-korrupt problémát javított memóriakezeléssel kezelték.

CVE-2017-7114: Alex Plaskett az MWR InfoSecurity-től

A belépés 2017. szeptember 25-én történt

Billentyűzet javaslatok

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A billentyűzet automatikus javításának javaslata érzékeny információkat tartalmazhat

Leírás: Az iOS billentyűzet véletlenül elrejtette az érzékeny adatokat. Ezt a problémát javított heurisztikával kezelték.

CVE-2017-7140: névtelen kutató

A belépés 2017. szeptember 25-én történt

libc

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A távoli támadó esetleg megtagadhatja a szolgáltatást

Leírás: A glob () erőforrás kimerülésének problémáját egy továbbfejlesztett algoritmussal kezeltük.

CVE-2017-7086: A Google Russ Cox

A belépés 2017. szeptember 25-én történt

libc

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Egy alkalmazás esetleg megtagadhatja a szolgáltatást

Leírás: A memóriafelhasználás problémáját javított memóriakezeléssel oldották meg.

CVE-2017-1000373

A belépés 2017. szeptember 25-én történt

libexpat

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: több kérdés a külföldön

Leírás: A 2.2.1-es verzióra történő frissítéssel több kérdés is megoldásra került

CVE-2016-9063

CVE-2017-9233

A belépés 2017. szeptember 25-én történt

Helykeret-keretrendszer

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Egy alkalmazás képes érzékelni az érzékeny helyadatokat

Leírás: A helyváltozó kezelésében létezett engedélyezési probléma. Ezt további tulajdonosi ellenőrzésekkel kezelték.

CVE-2017-7148: névtelen kutató, névtelen kutató

A belépés 2017. szeptember 25-én történt

Levelezés

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A kiváltságos hálózati pozícióval rendelkező támadó képes lehet a levél tartalmának elfogására

Leírás: Titkosítási probléma létezett a levélvázlatok kezelésében. Ezt a problémát azzal kezelték, hogy a titkosított küldendő üzeneteket jobban kezelik.

CVE-2017-7078: névtelen kutató, névtelen kutató, névtelen kutató

A belépés 2017. szeptember 25-én történt

Mail MessageUI

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú kép feldolgozása szolgáltatás megtagadásához vezethet

Leírás: Javult a validálással a memóriaterhelés problémája.

CVE-2017-7097: Xinshu Dong és Jun Hao Tan of Anquan Capital

üzenetek

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú kép feldolgozása szolgáltatás megtagadásához vezethet

Leírás: A szolgáltatás megtagadása a javított érvényesítéssel történt.

CVE-2017-7118: Kiki Jiang és Jason Tokoph

MobileBackup

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A biztonsági másolat nem titkosított biztonsági másolatot végezhet annak ellenére, hogy csak titkosított biztonsági másolatokat kíván végrehajtani

Leírás: Megadott engedélyezési probléma. Ezt a problémát javított engedély-érvényesítéssel kezelték.

CVE-2017-7133: Don Sparks a HackediOS.com-tól

Telefon

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Biztonsági tartalom képernyőképét lehet venni az iOS-eszköz zárolásakor

Leírás: A lezárás kezelésében időzítés állt fenn. Ezt a problémát a képernyőképek letiltása közben tiltották le.

CVE-2017-7139: névtelen kutató

A belépés 2017. szeptember 25-én történt

Szafari

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú webhely látogatása címsáv-spoofeléshez vezethet

Leírás: Összeférhetetlenné vált felhasználói felület problémája javult az állami menedzsmenttel.

CVE-2017-7085: a Tencent Xuanwu Labjának xisigrje (tencent.com)

Biztonság

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A visszavont tanúsítvány megbízható

Leírás: A visszavonási adatok kezelésében létezett tanúsítvány-érvényesítési probléma. Ezt a problémát javított validálással kezelték.

CVE-2017-7080: névtelen kutató, névtelen kutató, Sven Driemecker adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) Bærum kommune

A belépés 2017. szeptember 25-én történt

Biztonság

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: egy rosszindulatú alkalmazás képes követni a felhasználókat a telepítések között

Leírás: Az alkalmazás kulcstartó adatai kezelésében létezett engedély ellenőrzési probléma. Ezt a problémát javított engedélyek ellenőrzésével kezelték.

CVE-2017-7146: névtelen kutató

A belépés 2017. szeptember 25-én történt

SQLite

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Több kérdés az SQLite-ben

Leírás: Több kérdésre a 3.19.3-as verzióra történő frissítéssel foglalkoztak.

CVE-2017-10989: az OSS-Fuzz által talált

CVE-2017-7128: az OSS-Fuzz által talált

CVE-2017-7129: az OSS-Fuzz által talált

CVE-2017-7130: az OSS-Fuzz által talált

A belépés 2017. szeptember 25-én történt

SQLite

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Az alkalmazás tetszőleges kódot képes végrehajtani a rendszer jogosultságaival

Leírás: A memória-korrupt problémát javított memóriakezeléssel kezelték.

CVE-2017-7127: névtelen kutató

A belépés 2017. szeptember 25-én történt

Idő

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: "Az időzóna beállítása" helytelenül jelezheti, hogy helyet használ

Leírás: Az időzónákkal kapcsolatos információkat kezelő folyamat engedélyezési problémája volt. A problémát az engedélyek módosításával oldották meg.

CVE-2017-7145: névtelen kutató

A belépés 2017. szeptember 25-én történt

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú webes tartalom feldolgozása önkényes kódfuttatást eredményezhet

Leírás: A memória korrupciós problémáját javított bemeneti érvényesítéssel oldották meg.

CVE-2017-7081: Apple

A belépés 2017. szeptember 25-én történt

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú webes tartalom feldolgozása önkényes kódfuttatást eredményezhet

Leírás: Többféle memóriazárási problémát javított memóriakezeléssel kezeltek.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan a Baidu Biztonsági Labor munkáját a Trend Micro Zero Day Initiative-jával

CVE-2017-7092: Samuel Gro és Niklas Baumstark a Trend Micro Zero Day kezdeményezésével, a Qihoo 360 Vulcan Team Qixun Zhao (@ S0rryMybad)

CVE-2017-7093: Samuel Gro és Niklas Baumstark a Trend Micro Zero Day Initiative-jával

CVE-2017-7094: Tim Michaud (@TimGMichaud) a Leviathan Security Group-tól

CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang a Nanyang Technológiai Egyetemen a Trend Micro Zero Day Initiative

CVE-2017-7096: Wei Yuan a Baidu Biztonsági Lab

CVE-2017-7098: Felipe Freitas, az Instituto Tecnológico de Aeronáutica

CVE-2017-7099: az Apple

CVE-2017-7100: Masato Kinugawa és Mario Heiderich of Cure53

CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang a Nanyang Technológiai Egyetemen

CVE-2017-7104: hasonlít a Baidu Secutity Lab-re

CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang a Nanyang Technológiai Egyetemen

CVE-2017-7111: a Baidu Security Lab (xlab.baidu.com) hasonlósága a Trend Micro Zero Day Initiative-jével

CVE-2017-7117: lokihardt a Google Project Zero-ban

CVE-2017-7120: az Ant-pénzügyi Light-Year Security Lab labdacs (陈钦)

A belépés 2017. szeptember 25-én történt

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: a rosszindulatú webtartalom feldolgozása egyetemes kereszthelyes szkripteléshez vezethet

Leírás: A szülő lap kezelésében létezett logikai probléma. Ezt a problémát javított állami irányítással kezelték.

CVE-2017-7089: Anton Lopanitsyn az ONSEC-től, Frans Rosén of Detectify

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Az egyik eredethez tartozó sütik küldhetők egy másik eredetre

Leírás: A böngésző cookie-jainak kezelésében engedélyezési probléma állt rendelkezésre. Ezt a problémát már nem tette vissza cookie-k az egyedi URL-sémákhoz.

CVE-2017-7090: Apple

A belépés 2017. szeptember 25-én történt

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú webhely látogatása címsáv-spoofeléshez vezethet

Leírás: Összeférhetetlenné vált felhasználói felület problémája javult az állami menedzsmenttel.

CVE-2017-7106: Oliver Paukstadt a Thinking Objects GmbH-tól (to.com)

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A rosszindulatú webtartalom feldolgozása kereszttelepítési szkriptet okozhat

Leírás: Az alkalmazás gyorsítótárának házirendje váratlanul alkalmazható.

CVE-2017-7109: avlidienbrunn

A belépés 2017. szeptember 25-én történt

WebKit

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: egy rosszindulatú webhely képes követni a felhasználókat a Safari privát böngészési módban

Leírás: A böngésző cookie-jainak kezelésében engedélyezési probléma állt rendelkezésre. Ez a kérdés javított korlátozásokkal foglalkozott.

CVE-2017-7144: névtelen kutató

A belépés 2017. szeptember 25-én történt

Wi-Fi

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A tartományon belüli támadó tetszőleges kódot tud végrehajtani a Wi-Fi-chipen

Leírás: A memória-korrupt problémát javított memóriakezeléssel kezelték.

CVE-2017-11120: Gal Beniamini a Google Project Zero-tól

CVE-2017-11121: Gal Beniamini a Google Project Zero-tól

A belépés 2017. szeptember 25-én történt

Wi-Fi

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A Wi-Fi-chipen végrehajtott rosszindulatú kódok tetszőleges kódot futtathatnak a rendszermag jogosultságokkal az alkalmazásprocesszoron

Leírás: A memória-korrupt problémát javított memóriakezeléssel kezelték.

CVE-2017-7103: Gal Beniamini a Google Project Zero-tól

CVE-2017-7105: Gal Beniamini a Google Project Zero-tól

CVE-2017-7108: Gal Beniamini a Google Project Zero-tól

CVE-2017-7110: Gal Beniamini a Google Project Zero-tól

CVE-2017-7112: Gal Beniamini a Google Project Zero-tól

Wi-Fi

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A Wi-Fi-chipen végrehajtott rosszindulatú kódok tetszőleges kódot futtathatnak a rendszermag jogosultságokkal az alkalmazásprocesszoron

Leírás: A többszörös versenyfeltételeket javított validálással kezeltük.

CVE-2017-7115: Gal Beniamini a Google Project Zero-tól

Wi-Fi

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: A Wi-Fi-chipen végrehajtott rosszindulatú kódok korlátozott kernel-memóriát is képesek olvasni

Leírás: A validációs problémát javított bemeneti fertőtlenítéssel kezelték.

CVE-2017-7116: Gal Beniamini a Google Project Zero-tól

zlib

Elérhető: iPhone 5 és későbbi, iPad Air és később, valamint iPod touch 6. generáció

Hatás: Több kérdés a zlib-ben

Leírás: A 1.2.11-es verzióra történő frissítéssel több kérdés is megoldásra került.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Forrás

Tehát frissíteni kell? Mindig! Nem kell igazadnod ezt a másodpercet, de nem akartam kihagyni egy napot telepítés nélkül. Azt javaslom, figyelje a közösségi médiát és weboldalakat, hogy lássa, valami felbukkan a nap előtt. Általában ezek az első frissítések több hibával járhatnak, mint amennyit ténylegesen javítottak.

Mindenesetre, tudassa velünk, hogy megy, és elmondja nekünk, mennyi iOS 11 fut az Apple készülékein eddig.