Во вторник Apple выпустила iOS10, Xcode 8 и watchOS 3. В новых версиях закрыты уязвимости, которые могли способствовать раскрытию информации, выполнению произвольного кода и отказу в обслуживании (DoS).
закрывает в общей сложности 7 уязвимостей. Одна из них, обозначенная как CVE-2016-4741 может быть использована для атаки посредника (Man-in-the-Middle), чтобы запретить устройству получать обновления. Apple исправили проблему, убедившись, что обновление iOS выполняется через HTTPS-соединение.
Исследователи получили вознаграждения за обнаружение двух уязвимостей iOS. Одна из них может быть использована вредоносными приложениями для доступа к данным местоположения (CVE-2016-4719), вторая позволяет определить, кому пользователь отправляет текстовые сообщения (CVE-2016-4620).
В iOS10 также устранена уязвимость, связанная с функцией автокоррекции клавиатуры, которая может раскрыть может раскрыть конфиденциальную информацию (CVE-2016-4746), исправлена проблема, позволяющая злоумышленнику перехватить данные электронной почты с помощью атаки посредника, а также решен недостаток, который раскрывал сообщения на устройствах, неавторизованных в приложении Messages (CVE-2016-4740).
Кроме этого, анонимный исследователь обнаружил ошибку в предварительном просмотре AirPrint, которая приводит к тому, что незашифрованные документы записываются во временной файл (CVE-2016-4749).
Многие пользователи iPhone и iPad жаловались на то, что их устройства превратились в кирпич после обновления до iOS10. Это вынудило Apple быстро выпустить , которая включает в себя исправление еще одной уязвимости.
Поскольку watchOS основана на iOS, уязвимость CVE-2016-4719 затрагивает и .
Что касается , то в ней были исправлены уязвимости CVE-2016-4704 и CVE-2016-4705, которые позволяли аварийно завершить работу приложения или выполнить произвольный код.
