iOS 10.3.3 更新背后的故事

TLDR:赶紧升级!

苹果最近提示大家将系统升级到 iOS 10.3.3,并且描述这个更新的内容是:修复和改进安全性。

iOS 10.3.3 includes bug fixes and improves the security of your iPhone or iPad.

如此笼统的介绍让我产生了好奇,于是 Google 了一下。原来,这次修复主要是为了解决一个芯片级的漏洞

从 macworld 的报道来看(http://www.macworld.com/article/3209658/security/serious-wi-fi- exploit-patched-by-apple-before-its-found-in-the-wild.html),这次安全人员发现了一个直接可以通过 Wifi 发起攻击的手段,可以执行任意代码,完全不需要解锁手机或者接触用户的手机。

An attacker within range may be able to execute arbitrary code on the Wi-Fi chip。

如此简单的攻击方式使得该漏洞危险极大。这个漏洞其实是来源于 Broadcom 公司的无线芯片,苹果从 iPhone 5 开始就采用此无线芯片,所以受影响的范围巨大。由于担心被黑客利用,所以具体的攻击方式并没有被公开。

另外,由于 Broadcom 公司的芯片普遍被采用,所以这次受影响的不止是 iPhone,还包括大量的 Android 手机。

Google 公司的行动非常迅速,在 7 月 5 日就发布了更新补丁,修复了该漏洞。苹果紧接着在 7 月 19 日发布了补丁。不过有意思的是,由于 Android 系统极大的分裂性,我猜测这么重要的更新即使一年之后,估计也就只能覆盖 50% 的 Android 手机。这也是每年 WWDC 大会上拿来嘲笑 Android 的事情。

所以,就看黑客们的分析能力了,如果他们够牛逼,即使是主流厂商发布了补丁,估计他们也能攻击到很多 Android 和一部分 iOS 的旧版本用户。

所以,iOS 和 Android 的读者们,赶紧拿起你的手机升级吧!

另 外,从苹果的更新详细说明( https://support.apple.com/en-us/HT207923) 中,我看到了大量来自中国公司贡献的安全问题,包括:360,腾讯,蚂蚁金服,百度。不能不说,在安全上,BAT 以及 360 还是处于业界前列,向他们致敬。以下是这些问题列表和贡献者:

CVE-2017-7008: Yangkang (@dnpushme) of Qihoo 360 Qex Team
CVE-2017-7009: shrek_wzw of Qihoo 360 Nirvan Team
CVE-2017-7069: Proteas of Qihoo 360 Nirvan Team
CVE-2017-2517: xisigr of Tencent’s Xuanwu Lab (tencent.com)
CVE-2017-7011: xisigr of Tencent’s Xuanwu Lab (tencent.com)
CVE-2017-7020: likemeng of Baidu Security Lab
CVE-2017-7030: chenqin of Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin of Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7019: Zhiyang Zeng of Tencent Security Platform Department

iOS 10.3.3 更新背后的故事的更多相关文章

  1. iOS 10 的一个重要更新-自定义的通知界面

    续上篇,在简单闹钟的例子上,在通知界面上显示图片动画,并用通知关联的按钮更新通知界面.介绍 iOS 10 通知 API 的扩展:自定义通知显示界面. 新框架可以统一处理本地通知和远程推送,同时增加了一 ...

  2. iOS 10 的一个重要更新-新的通知推送 API

    iOS 10 最重要的变化可能就是通知 API 的重构了.本文用一个简单闹钟的例子介绍了 User Notification 的 API 变化和新功能. 简介 很久以前,开发者就可以在 iOS 里预约 ...

  3. iOS 10 的一个重要更新-开发 iMessage 的第三方插件

    苹果官方的 Messages 在 iOS 10 推出了非常重大的更新,可能主要是想从其他 IM 巨头手里抢点市场份额回来,包括 Facebook Messenger, Wechat 和 Snapcha ...

  4. iOS 10.0 更新点(开发者视角)

    html, body {overflow-x: initial !important;}html { font-size: 14px; } body { margin: 0px; padding: 0 ...

  5. Mac OS X 背后的故事

    Mac OS X 背后的故事 作者: 王越  来源: <程序员>  发布时间: 2013-01-22 10:55  阅读: 25840 次  推荐: 49   原文链接   [收藏]   ...

  6. 腾讯技术分享:微信小程序音视频技术背后的故事

    1.引言 微信小程序自2017年1月9日正式对外公布以来,越来越受到关注和重视,小程序上的各种技术体验也越来越丰富.而音视频作为高速移动网络时代下增长最快的应用形式之一,在微信小程序中也当然不能错过. ...

  7. 背后的故事之 - 快乐的Lambda表达式(一)

    快乐的Lambda表达式(二) 自从Lambda随.NET Framework3.5出现在.NET开发者眼前以来,它已经给我们带来了太多的欣喜.它优雅,对开发者更友好,能提高开发效率,天啊!它还有可能 ...

  8. [转载]iOS 10 UserNotifications 框架解析

    活久见的重构 - iOS 10 UserNotifications 框架解析 TL;DR iOS 10 中以前杂乱的和通知相关的 API 都被统一了,现在开发者可以使用独立的 UserNotifica ...

  9. iOS 10、Xcode 8 遇到部分问题解决记录

    今天把iphone 6 升级到ios10 后,用Xcode 7进行真机调试的时候提示: Could not find Developer Disk Image 果断准备升级到Xcode 8 .但是想保 ...

随机推荐

  1. JavaScript判断是否全为中文,是否含有中文

    来源于:http://blog.csdn.net/yenange/article/details/7463897 第一种代码(全为中文则返回"true",不全为中文则返回" ...

  2. 轻量级桌面 openbox + tint2 + conky + stalonetray + pcmanfm + xcompmgr

    openbox+tint2+pnmixer+conky=轻量级archlinux桌面环境设置备忘 缘起 机器上的Ubuntu 12.04有一段时间没有使用了,最近在用的时候发现频繁死机的情况,开始以为 ...

  3. [抄]使用网页进行展示而非PPT

    会议.演讲离不开幻灯片,它可以有效地辅助演讲者进行表达.目前一些流行的工具,比如Windows平台上的PowerPoint.Mac平台上的Keynote等工具,使得幻灯片的制作变得简单.但是这些幻灯片 ...

  4. Python实现:十进制数与(2~16进制数)之间的互相转换

    (最开始源于牛客网上的一道编程题 : [编程题] 数制转换) 将X进制转为int十进制的功能函数:(乘X次方各位数的加和法) # 将X进制转为int十进制的功能函数:(乘X次方各位数的加和法) def ...

  5. 【RS】Local Low-Rank Matrix Approximation - LLORMA :局部低秩矩阵近似

    [论文标题]Local Low-Rank Matrix Approximation (icml_2013 ) [论文作者]Joonseok Lee,Seungyeon Kim,Guy Lebanon  ...

  6. Debug 路漫漫-04

    1.错误使用 cat 要串联的数组的维度不一致. ——前面给个初始化即可: D = cell(length(trainIdx),1); user_itemData = cell(length(trai ...

  7. 颜色传感器TCS230及颜色识别电路(转)

    摘要 TCS230是美国TAOS公司生产的一种可编程彩色光到频率的传感器.该传感器具有分辨率高.可编程的颜色选择与输出定标.单电源供电等特点:输出为数字量,可直接与微处理器连接.文中主要介绍TCS23 ...

  8. 强制IE浏览器或WebBrowser控件

    注册表: 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BRO ...

  9. 轻量级验证码生成插件webutil-licenseImage源码与实例应用

    webutil-licenseImage 插件内置4种验证码样式,支持用户扩展.自定义样式实现简单验证码. 源码脱管地址: http://code.google.com/p/licenseimage/ ...

  10. 【struts2】自定义拦截器

    1)什么是自定义的拦截器 所谓自定义的拦截器,就是由我们自己定义并实现的拦截器,而不是由Struts2定义好的拦截器.虽然Struts2的预定义拦截器已经满足了大多数情况的需要.但在有些时候,我们可能 ...