翻译:WisFree
预估稿费:100RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
漏洞概述
iOS 10.3才更新不久,苹果公司就推出了iOS 10.3.1,根据苹果公司提供的iOS版本信息,iOS 10.3正式版总共修复了一百多个安全漏洞,并实现了一定程度上地安全性提升。而就在该版本发布后不到一周的时间里,苹果公司又向用户紧急推送了一个更新版本,即iOS 10.3.1,并在新版本中修复了多个严重的安全漏洞,而其中有一个漏洞将允许攻击者通过iOS设备的Wi-Fi芯片来实现执行任意代码。
这个漏洞(CVE-2017-6975)是由谷歌Project Zero的项目成员Gal Beniamini发现的,他表示将会在明天通过推特发布关于此漏洞更多的详细信息。苹果公司目前还没有提供任何关于该漏洞的细节信息,不过他们正在敦促iPhone、iPad以及iPod Touch用户尽快将他们的设备更新至最新版本。
漏洞信息
根据iOS 10.3.1的安全更新公告,苹果公司将漏洞CVE-2017-6975描述为了一个栈缓冲区溢出漏洞,并通过提升系统的输入验证来修复了这个漏洞。
当执行栈的占用空间增长超过系统为其分配的内存空间之后,便会触发这个栈缓冲区溢出漏洞,而攻击者将可以利用这个漏洞并通过设备的Wi-Fi芯片在目标设备中远程执行任意恶意代码。
安全研究人员表示,iPhone 5及其之后的新款苹果手机、iPad四代及其之后的新款平板、iPod Touch六代、以及所有运行了iOS 10.3操作系统的苹果设备都将会受到这个安全漏洞的影响。值得注意的是,iPhone 5和iPhone 5C是苹果公司的最后两款拥有32位处理器芯片(A6)的设备了,而由于iPhone 5S使用的是64位处理器,因此iPhone 5S并不会受到该漏洞的影响。
如果你想了解更多关于该漏洞的细节信息,那么你估计得等到明天了(漏洞细节已发布,链接地址为:https://googleprojectzero.blogspot.jp/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html ),因为明天Beniamini将会专门发布一篇文章来详细介绍这个漏洞的技术细节以及该漏洞给用户带来的影响。
除此之外,在iOS 10.3正式版的升级过程中,iPhone5、iPhone5c、iPad4用户(32位设备)都不能使用OTA升级,只能使用iTunes手动安装。不少用户担心此后的iOS升级都将抛弃这部分老款设备,不过苹果公司表示此次更新的iOS 10.3.1已经修复了这一问题,老用户们不用再为此担心了。随着iOS 10.3.1的发布,我们也证实了苹果公司的这一说法。
总结
广大用户可以通过设置-通用-软件更新来下载并安装iOS 10.3.1。运行了iOS 10.3的苹果设备在联网状态下都会收到iOS 10.3.1的更新提示,所以我们建议大家尽快安装更新补丁。不过小编个人认为,苹果设备的Wi-Fi貌似永远都存在着各种各样的小问题,比如说连接不上或者网速过慢等等,不知此次更新是否能够改善苹果设备的Wi-Fi状况。