SSL信息
随着iOS 10的发布,苹果终于将其iOS安全更新机制转移到了HTTPS!
在此之前,系统更新通过HTTP发送至设备,如果攻击者恰好处在同一网络中,用户极易收到干扰。
苹果公司表示:“iOS更新中曾存在一个问题,从而没有真正保护用户通信。现在这个问题通过使用HTTPS进行软件更新解决“,此外,中间人攻击者可能会阻止设备接收更新。
这个变化是iOS 10中修补的七个漏洞之一,这是移动操作系统的一个重大更新。 MacRumors表示,在更新的早期阶段,用户还报告了将设备置于恢复模式的安装问题。 苹果后来承认,更新过程中存在一个问题,并且少量的用户在修复之前受到了影响。
苹果在本地iOS Mail应用程序中修补了一个潜在的严重问题,在该应用程序中,网络上的攻击者可能会窃取电子邮件凭据。
“处理不受信任的证书的过程存在一个问题,”苹果解释道,”我们的做法是终止不可信的连接。”
苹果公司还在iOS 10的新消息框架中修补了一个隐私问题,苹果公司在iPhone和iPad上修补了一个未经登录的设备上读取消息的隐私问题。苹果公司表示,问题在于使用Handoff for Messages, 并通过优化状态管理解决了该问题。Handoff确保iOS设备之间的同步和连续性。
此外,这次更新还解决了恶意应用程序可以用来自定义短信发件人的漏洞。
苹果说:
“短信草稿目录中存在访问控制问题。 这个问题是通过阻止应用程序统计受影响的目录来解决的。”
苹果公司还修补了键盘缓存敏感信息的iOS键盘中的一处漏洞,并在自动更正的建议中显示。
GeoServices中的一个错误也被解决了,因为PlaceData中的权限问题,应用程序可能会读取位置信息。
苹果还为El Capitan 10.11.5及更高版本更新了Xcode,修复了otool工具中的一个漏洞,该漏洞允许本地攻击者崩溃应用程序或运行代码。 苹果表示,它修补了多个内存损坏漏洞。
最后,苹果改进了在WatchOS中的一个权限问题,该问题可能允许应用程序读取位置信息。
稿源:Threat post