Apple lance iOS 10.3.3 - Qu'est-ce qui est inclus et devez-vous mettre à niveau?

iOS 10.3.3 est probablement la dernière mise à jour iOS avant la sortie d'iOS 11. Pas trop excitant, mais vaut vraiment le téléchargement.

Apple met actuellement tous ses efforts de développement derrière sa prochaine version de son système d'exploitation mobile iPad et iPhone, iOS 11. Cela dit, la société n'a pas renoncé à maintenir la version actuelle, iOS 10. Alors qu'il approche de son coucher de soleil cet automne, Apple continue de publier des mises à jour importantes pour lui, la dernière étant la version 10.3.3 d'iOS.

La mise à jour suit version 10.3.2, sorti il ​​y a quelques mois. En parcourant la page de contenu pour iOS 10.3.3, il s'agit certainement d'une correction de bogues et d'une version axée sur la sécurité; celui que vous voudrez certainement saisir immédiatement. De nombreux exploits ont été fermés, notamment: l'exécution de code arbitraire, les dépassements de tampon, les attaques à distance et plusieurs autres problèmes de bas niveau.

Note de l'éditeur: Il m'a fallu environ 20 minutes pour télécharger et installer iOS 10.3.3. Non seulement cela, j'ai semblé avoir récupéré environ un demi-gigaoctet d'espace de stockage par la suite.

Qu'est-ce qui est inclus dans iOS 10.3.3?

Tout comme la version de mai 10.3.2 d'iOS, vous ne trouverez aucune fonctionnalité accessible aux utilisateurs, il s'agit vraiment de ce qui se cache sous le capot. À 84 Mo, c'est une mise à jour relativement petite, qui ne devrait pas être très compliquée pour les réseaux Wi-Fi. Mais comme pour chacune de ces mises à jour, effectuer une sauvegarde rapide juste au cas où quelque chose d'inattendu se produirait. Certains des domaines modifiés par la mise à jour incluent: Contacts, CoreAudio, EventkitUI, Kernel, IOUSBFamily, Messages, Notifications, Safari, Téléphonie et Webkit. Webkit, en particulier, reçoit un certain nombre de correctifs dans iOS 10.3.3.

La mise à jour iOS 10.3.3 prend en charge les appareils Apple tels que l'iPhone 5 et les versions ultérieures, l'iPad de 4e génération et les versions ultérieures et l'iPod Touch de 6e génération. Vous pouvez télécharger la mise à jour en lançant Paramètres> Général> Mise à jour logicielle> Télécharger et installer.

Pour plus de détails, voici un exemple de ce qui a été corrigé et branché dans la mise à jour 10.3.3.

Contacts

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant distant peut provoquer une fermeture inattendue d'application ou l'exécution de code arbitraire

Description: un problème de dépassement de tampon a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement d'un fichier vidéo conçu de manière malveillante peut entraîner l'exécution de code arbitraire

Description: un problème de corruption de mémoire a été résolu par une meilleure vérification des limites.

CVE-2017-7008: Yangkang (@dnpushme) de Qihoo 360 Qex Team

EventKitUI

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant distant peut provoquer la fermeture inopinée d'une application

Description: un problème d'épuisement des ressources a été résolu par une meilleure validation des entrées.

CVE-2017-7007: José Antonio Esteban (@Erratum_) de Sapsi Consultores

IOUSBFamille

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7009: shrek_wzw de l'équipe Qihoo 360 Nirvan

Noyau

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut être en mesure d'exécuter du code arbitraire avec des privilèges système

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7022: un chercheur anonyme

CVE-2017-7024: un chercheur anonyme

CVE-2017-7026: un chercheur anonyme

Noyau

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7023: un chercheur anonyme

CVE-2017-7025: un chercheur anonyme

CVE-2017-7027: un chercheur anonyme

CVE-2017-7069: Proteas de l'équipe Qihoo 360 Nirvan

Noyau

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut lire la mémoire restreinte

Description: un problème de validation a été résolu par une amélioration du nettoyage des entrées.

CVE-2017-7028: un chercheur anonyme

CVE-2017-7029: un chercheur anonyme

libarchive

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: le décompactage d'une archive conçue de manière malveillante peut entraîner l'exécution de code arbitraire

Description: un dépassement de tampon a été résolu par une vérification améliorée des limites.

CVE-2017-7068: trouvé par OSS-Fuzz

libxml2

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: l'analyse d'un document XML conçu de manière malveillante peut entraîner la divulgation d'informations sur l'utilisateur

Description: une lecture hors limites a été corrigée grâce à une vérification améliorée des limites.

CVE-2017-7010: Apple

CVE-2017-7013: trouvé par OSS-Fuzz

libxpc

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut être en mesure d'exécuter du code arbitraire avec des privilèges système

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7047: Ian Beer de Google Project Zero

messages

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant distant peut provoquer la fermeture inopinée d'une application

Description: un problème de consommation de mémoire a été résolu par une meilleure gestion de la mémoire.

CVE-2017-7063: Shashank (@cyberboyIndia)

Notifications

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: des notifications peuvent apparaître sur l'écran de verrouillage lorsqu'elles sont désactivées

Description: un problème d'écran de verrouillage a été résolu grâce à une gestion améliorée de l'état.

CVE-2017-7058: un chercheur anonyme

Safari

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: la visite d'un site Web malveillant peut entraîner une usurpation de la barre d'adresse

Description: un problème d'interface utilisateur incohérent a été résolu grâce à une meilleure gestion des états.

CVE-2017-2517: xisigr du laboratoire Xuanwu de Tencent (tencent.com)

Impression Safari

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement de contenu Web conçu de manière malveillante peut entraîner un nombre infini de boîtes de dialogue d'impression

Description: un problème existait lorsqu'un site Web malveillant ou compromis pouvait afficher des boîtes de dialogue d'impression infinies et faire croire aux utilisateurs que leur navigateur était verrouillé. Le problème a été résolu par la limitation des dialogues d'impression.

CVE-2017-7060: Travis Kelley de la ville de Mishawaka, Indiana

Téléphonie

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant se trouvant dans une position privilégiée sur le réseau peut être en mesure d'exécuter du code arbitraire

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-8248

WebKit

Disponible pour: iPhone 5 et versions ultérieures, iPad 4e génération et versions ultérieures et iPod touch 6e génération

Conséquences: un site Web malveillant peut exfiltrer les données d'origine croisée

Description: le traitement de contenu Web conçu de manière malveillante peut permettre d'exfiltrer des données d'origine croisée en utilisant des filtres SVG pour mener une attaque de synchronisation côté canal. Ce problème a été résolu en ne peignant pas le tampon d'origine croisée dans le cadre qui est filtré.

CVE-2017-7006: un chercheur anonyme, David Kohlbrenner de UC San Diego

La source

Devriez-vous passer à la version 10.3.3?

Ouaip! Allez, regardez cette liste - économisez environ 20 minutes de temps d'arrêt, il n'y a aucun avantage à ignorer tous ces correctifs de sécurité. Le smartphone devenant notre bien le plus précieux, en raison de la quantité d'informations sensibles que nous stockons dessus, le garder à jour est notre meilleure défense. Il n'y a vraiment rien à perdre. Bien sûr, vous voudrez peut-être attendre un jour ou deux juste pour voir si des rapports font surface concernant des problèmes avec la mise à jour. Pour moi, ces mises à jour ponctuelles pour iOS 10 se sont déroulées sans problème.

Comme toujours, faites-nous savoir dans les commentaires votre expérience avec la nouvelle mise à jour: a-t-elle été lente, rapide, est-ce que quelque chose de mauvais s'est produit ou est-ce que cela s'est simplement passé sans incident?