もう一人のY君

iPhoneアプリのレビューやアップデートレビューなどを書いています. たまに数学の記事も書きます.

もう一人のY君 MENU  MENU

AppleがiOS9.3.3をリリース, カレンダーやSafariなどの脆弱性など26の脆弱性に対処

160719_00

 やっとiOS9.3.3がリリースされました.

 今回はバグや脆弱性への対応がメインです.

 

[Contents]
 

 

アップデート情報

160719_01

 今回はアップデート情報に具体的な内容は書かれていません.

 以下でセキュリティコンテンツを簡単に紹介します(記事執筆時は英語のみ).

 今のところアップデートによるトラブルは無さそうですね…(08:20時点).

 

 

ダウンロード容量, 所要時間など

 僕が所有しているiPhone 6, 64GB, iTunesアップデートによるものです, 他の方で全く同じとは限りません.

 

 OTAアップデートの場合は先の画像の通り僕は55.1MBでした, iTunesの場合は1.88GBと, 前回と変わらないですね.

 

 デバイスの最大容量についてはiOS9.3.2, 9.3.3共に55.71GBでした, 使用可能容量は後ほど.

 

 iTunesアップデートによる各所要時間は以下の通りでした.

DL開始(ロック解除) 00:00
DL完了 04:02
ソフトウェア抽出完了 06:00
iPhoneソフトウェアの更新完了 10:27
iPhoneファームウェア更新完了 12:09
ロック解除(終了) 14:37

 前回より12秒早くなりましたがまぁこれは状況によりけりですね.

 他の方も全く同じとは限りませんが参考にどうぞ.

 

 

160719_02

 最大容量は前後で大きく変わりませんが, 使用可能容量が0.4GB程度増加しました.

 

 

160719_03
Geekbench 3

Geekbench 3

  • Primate Labs Inc.
  • ユーティリティ
  • ¥120

※価格は記事執筆時のものです. 現在の価格はApp Storeから確認ください.

 ベンチマークスコアについてはおよそ同等か, やや上昇しているようです.

 

 

セキュリティコンテンツ

 今回はセキュリティコンテンツの内容はここに書くことにします.

 全26項目のようです.

 

About the security content of iOS 9.3.3

Released July 18, 2016 Calendar Available for: iPhone 4s and later, iPod touch (5th generation) and later, iPad 2 and later Impact: A maliciously crafted calendar invite may cause a device to unexpectedly restart Description: A null pointer dereference was addressed through improved memory handling.

 

カレンダー

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたカレンダーの招待により, 突然再起動を引き起こす可能性のあるデバイスあり.
説明  メモリ処理を改善することで対処.

 

 

CoreGraphics

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  リモートを利用したアタッカーが任意のコードを実行できる可能性.
説明  メモリ破損の問題を, メモリ処理を改善することで対処.

 

 

FaceTime

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  特定のネットワーク位置に存在するアタッカーが, 通話が終了しているかのようにふるまい, 音声を送信し続けるために中継されたコールを行う可能性.
説明  ユーザーインターフェースの矛盾が, 中継されたコールの中に存在しており, 表示ロジックを改善することで対処.

 

 

ImageIO

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  リモートアタッカーがサービス拒否を引き起こす可能性.
説明  メモリ処理を改善することで対処.

 

 

ImageIO

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  同上.
説明  複数のメモリ破損の問題を改善することで対処.

 

 

IOAcceleratorFamily

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  ローカルユーザーがカーネルメモリを読みとる事ができる可能性.
説明  バンドチェックを改善することで読み取り禁止に対処.

 

 

IOAcceleratorFamily

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  ローカルユーザーがカーネルの権限で任意のコードを実行できる可能性.
説明  検証を強化することで対処.

 

 

IOHIDFamily

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  同上.
説明  入力の検証を改善することで対処.

 

 

カーネル

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  同上.
説明  複数のメモリ破損の問題を改善することで対処.

 

 

カーネル

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  ローカルユーザーがサービスのシステム拒否を引き起こす可能性.
説明  入力の検証を改善することで対処.

 

 

libxml2

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  libxml2内に複数の脆弱性あり.
説明  複数のメモリ破損の問題を, メモリ処理の改善によって対処.

 

 

libxml2

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたXML文書を解析すると, ユーザー情報が漏洩する可能性.
説明  アクセス可能の問題は, 悪意を持って作成されたXMLファイルの解析に原因があり, 入力の検証を改善することで対処.

 

 

libxslt

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  libxslt内に複数の脆弱性あり.
説明  複数のメモリ破損の問題を, メモリ処理の改善によって対処.

 

 

Safari

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意あるWebサイトにアクセスすると, ユーザーインターフェースのスプーフィングにつながる可能性.
(スプーフィング=なりすまし)
説明  無効となったポートにリダイレクトすることで, 任意のコンテンツを表示している間, 悪質なWebサイトを許可されている可能性があります.
 この問題は改善されたURLの表示ロジックによって対処済み.

 

 

Sandbox Profiles

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  ローカルアプリケーションによってプロセスリストにアクセスされる可能性.
説明  この問題は特権を持つAPIコールにあったようです.
 追加の制限を設けることで対処.

 

 

Siri Contacts

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  デバイスに物理的にアクセスできる人物によってプライベートな連絡先情報を閲覧される可能性.
説明  連絡先カードの取り扱いに原因があったようで, 状態管理を改善することで対処.

 

 

Web Media

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  Safariのプライベートブラウジングモードでビデオを表示する際, プライベートブラウジングモード外でビデオURLが表示される.
説明  プライバシーの問題が, Safariのビューコントローラによるユーザーデータ処理に存在していたようです.
 この問題は状態管理の改善によって対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebサイトにアクセスすると, プロセスメモリを開示してしまう可能性.
説明  メモリの初期化を改善することで対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意あるWebサイトにアクセスすると, 別のWebサイトから画像データを開示できてしまう可能性.
説明  SVGの処理に問題があったようで, 検証の改善によって対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebサイトにアクセスすると, ファイルシステム上のユーザー情報を損なう可能性.
説明  アクセス許可の問題は, 位置変数の扱いにあったようです.
 所有権のチェックを追加することで対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebサイトにアクセスすると, 任意のコードが実行される可能性.
説明  複数のメモリ破損の問題を改善することで対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意あるWebサイトにアクセスすることで, ユーザーインターフェースのスプーフィングにつながる可能性.
説明  セキュリティの検証を強化することで対処.

 

 

WebKit

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebページにアクセスすることで, サービス拒否につながる可能性.
説明  メモリ処理の問題を改善することで対処.

 

 

WebKit JavaScript Bindings

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebサイトにアクセスすると, 非HTTPサービスのコンテキストでスクリプトが実行される可能性.
説明  HTTPと互換性のある非HTTPサービスへのフォームをHTTP/0.9を利用して送信する際にクロスプロトコル, クロスサイトスクリプティング(XPXSS)の問題が発生していました.
 HTTP/0.9経由のリソース上のスクリプトとプラグインを無効にすることで対処.

 

 

WebKitのページ読み込み

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意あるWebサイトが, data cross-originから抜け出す可能性.
(cross-origin=通常Webページを生成したドメイン以外へのHTTPリクエストができないが, それを実現し, 異なるドメインのリソースにアクセスすること)
説明  SafariのURLリダイレクトに問題があったようです.
 リダイレクト処理におけるURLの検証を改善することで対処.

 

 

WebKitのページ読み込み

対象機種 iphone 4s, iPod touch5, iPad2以降
影響  悪意を持って作成されたWebサイトにアクセスすると, 任意のコードが実行される可能性.
説明  複数のメモリ破損の問題を改善することで対処.

 

 

 Twitterを見てると「こんなに脆弱性あったの?」という声を見かけますがいつもこんなものです.

 それほど, エンドユーザーが遠まわしに求める機能改善のスピード, クラッカーとのいたちごっこはまさに現在進行形ということです.

 

 実害をもってアップデートを控える考えも一つの選択ですが, これらのようにアップデートの度に, 地味なものから重大なものまで脆弱性が解消されている事実も目をそらしてはいけません.

 

 

追記

不具合・バグ情報 (2016.07.19 18:10)

 Twitterなどを見る限りでは特に目立った不具合・バグはなく, アップデート自体も問題なく済んでいる方が多いようです.

 また使用可能容量が増えたケースも僕だけではないようですね.

 アプリの起動に問題がある報告も特に見られません, 逆に問題無しの報告が散見されます.

 

 アプリ切り替えなどのラグ軽減, バッテリーの減り増減については, アップデートによる一時的な現象の可能性があるため, ある程度様子を見て評価する必要があります.

 

 アップデート直後に想定しない不具合はよくあることなので, 1日~数日待って, 問題なければアップデートする選択肢もあります.

 

 

【解決】iOS9.3.3にアップデート/インストールできないバグ不具合障害の対処設定方法

本日、2016年7月19日、Apple社は同社から発売されている最新モデル「iPhone6S」や「iPadPro」などのiOSデバイス向けに最新バージョン「iOS9.3.3」を正式リリースしましたが、同バージョンにアップグレードできない!ダウンロードやインストールをiPhoneやiPadに失敗する!などのバグ不具合障

 一部のデバイスで, OTAアップデートを行う際iOS9.3.3へのアップデートに失敗する不具合が怒っているようです.

 

 

アプリ起動確認

 Twitterで確認できる, iOS9.3.3で起動確認ができたアプリ(一部, 僕が確認したものも含みます)は以下になります(いずれも最新バージョン, "起動を確認しただけ"です).

  • Spark
  • LINE
  • Tweetbot 4
  • Twitter
  • Facebook
  • Feedly
  • SySight
  • Dropbox
  • Youtube
  • Google Maps
  • Launcher
  • Google Keep
  • Moleskine Timepage
  • はてなブログ
  • はてなブックマーク
  • Minecraft PE
  • Pixiv
  • coconuBattery
  • Geekbench 3
  • CatchApp
  • Textwell
  • Dataman Next
  • Workflow
  • 1Password
  • Amazon
  • Vine
  • Yahoo!ジャパン
  • Firefox
  • Chrome
  • Feather
  • パズドラ
  • モンスト
  • ラブライブ
  • スクフェス
  • デレステ
  • スマートニュース
  • グノシー
  • Google
  • Instagram
  • Memoflowy
  • Workflowy
  • WellnesConnected
  • A&D Connect Smart
  • モバブ!
  • ChatWork