GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-07-19) - page 1 of 10
 
___________________________________________________________________
The security content of iOS 10.3.3
81 points by codezero
https://support.apple.com/en-us/HT207923
___________________________________________________________________
 
0x0 - 2 hours ago
Interestingly, the changelogs are silent about a fairly major
change to the filesystem when going from 10.3.x to 10.3.3. It seems
like APFS was originally intended to use a different unicode
normalization setup than HFS, but it turned out to be very
problematic. After iOS 10.3.0 silently converted all iOS devices
from HFS to APFS (!) (and not only was this not specified in the
user-visible changelogs, earlier iOS 10.x.x releases did the same
dry-run conversion without notice - only stopping short of
committing the final type flip - which may explain why iOS OTA
upgrades have been somewhat slow to execute -
https://www.macobserver.com/analysis/apple-dry-run-apfs-prio... ),
iOS 10.3.3 adds runtime normalization to the file system. It's
unclear what kind of performance hit this has (but I seem to
remember reading something about how samba on UNIX taking a hit on
file opens in order to support clients specifying incorrect casing,
which sounds similar). Apparently an unspecified later version of
iOS will perform yet another conversion, from APFS-normalization-
preserving to APFS-native-normalization.More details:
https://mjtsai.com/blog/2017/06/27/apfs-native-normalization...By
the way, if you ever rsync between macOS and Linux you may have
noticed (or not) how this unicode normalization messes up filenames
and cause duplicates and stale copies when roundtripping, see
https://serverfault.com/questions/397420/converting-
utf-8-nf.....Also, unrelated, it seems this version of iOS fixes
the Broadpwn wifi chip vulnerability (which perhaps could also
continue on to compromise the main OS kernel via a DMA attack after
compromising the wifi chip) ( http://boosterok.com/blog/broadpwn2/
, https://nvd.nist.gov/vuln/detail/CVE-2017-9417 )
 
  noja - 2 hours ago
  > By the way, if you ever rsync between macOS and
  Linux...Syncthing handles this with automatic normalization:
  https://docs.syncthing.net/advanced/folder-autonormalize.htm...
 
  timcederman - 2 hours ago
  > After iOS 10.3.0 silently converted all iOS devices from HFS to
  APFS (!) (and not only was this not specified in the user-visible
  changelogsAre you suggesting Apple didn't disclose APFS was
  coming to 10.3? There was plenty of media coverage ahead of time
  (e.g. https://9to5mac.com/2017/03/21/what-is-apples-upcoming-
  apfs-...), and it's specifically mentioned in the 10.3 release
  notes.
 
    urda - 2 hours ago
    It was absolutely disclosed all over, so I'm not sure if this
    is simply the commentor being wrong (most likely) or a weak jab
    at Apple.https://developer.apple.com/library/content/releasenot
    es/Gen...
 
      sixstringtheory - 2 hours ago
      Those release notes are intended for their developer
      audience, not the general end user base. Parent was pointing
      out that the actual release notes Apple shows you on the
      device you're about to upgrade did not mention APFS.
 
        reaperducer - 2 hours ago
        The general audience doesn't even know that its phone has a
        file system, let alone care whether it's HFS, HPFS, APFS,
        or CP/M.  You're complaining that Apple didn't disclose
        something that only developers care about to the masses.
 
          0x0 - 1 hours ago
          Then at least we can agree that a fairly major operation
          such as converting the entire disk between file systems
          in a "minor" update wasn't disclosed to the masses, and I
          think that fact (and that it worked out quite well,
          apparently, besides the normalization shenanigans) is
          interesting it its own right.
 
          otterley - 1 hours ago
          I think it's important to distinguish a major change from
          an impactful one.  The APFS change is major, but not
          necessarily impactful in any meaningful sense to users.
          Apple's not the kind of company that's going to emphasize
          non-impactful changes to its customer base.
 
          0x0 - 1 hours ago
          I'm not sure I agree with that, obviously this seems to
          cause trouble if you have file names with non-ascii
          characters in them already, and who knows what else could
          have gone awry. But let's agree to disagree in that case
          :)
 
          Sidnicious - 1 hours ago
          0x0 (since this thread has hit the reply depth limit):
          The filesystem on iOS isn?t exposed to users, so I would
          guess that Apple considers it a strictly developer-facing
          change.
 
          0x0 - 1 hours ago
          That's not necessarily true. It's easy to build an app
          where you prompt for the user's text input to construct a
          filename for saving a document/picture for example.
          NSDocumentDirectory is very much still the recommended
          place to store persistent user data on iOS. Imagine any
          non-English speaking person entering a non-ascii name for
          their document.As another example, imagine Dropbox.app
          syncing files from the dropbox cloud reusing explicit
          filenames into the app's sandboxed Application
          Support/Library/Documents folders. I have no if they do
          this but if they do this could spell trouble.Or simply
          any app supporting iTunes File Sharing, allowing users to
          drag files from their mac into the app container's
          NSDocumentDirectory directly.Edit: Interested in hearing
          counterarguments instead of downvotes, thanks? :-/
 
          vvhn - 18 minutes ago
          >Imagine any non-English speaking person entering a non-
          ascii name for their documentYou mean there are people in
          Europe, China, Japan, India running into widespread
          problems when they create filenames in their own language
          in iOS 10.3+ ?
 
          dkonofalski - 1 hours ago
          What do you mean by reply depth limit? I'm able to reply
          to your comment... :-/
 
    0x0 - 2 hours ago
    I don't think it was mentioned anywhere in the end-user facing
    "software update" changelog - if this is the right source
    https://support.apple.com/kb/DL1893?locale=en_US - but you are
    right that it was mentioned in the developer SDK release notes
    https://developer.apple.com/library/content/releasenotes/Gen...
 
      Aloha - 1 hours ago
      This makes sense to me - why would the user care what kind of
      filesystem their phones have - developers might - but when
      you cant choose the filesystem anyhow, what does it matter if
      the default changes.
 
p0ppe - 2 hours ago
I'm still perplexed that Apple doesn't offer over the air updates,
especially for security updates. 137 MB shouldn't be that big a
deal on a normal 4G connection.
 
  spike021 - 2 hours ago
  Not everybody has unlimited data plans.4G can certainly handle
  137 MB in speed, but that doesn't mean users want to use their
  data plan for updates.
 
    0x0 - 2 hours ago
    Then at least allow it for manual update requests. Just like
    99MB app installs or updates don't have a problem with 4G :)
 
    p0ppe - 1 hours ago
    But that should be up to the users to decide. I'll be much
    happier to use up 137 MB for a critical security update than
    354 MB for the latest Facebook app update (version 132.0).
 
      justinv - 46 minutes ago
      FYI even though it says 324mb, App Store updates are delta
      updates as of iOS 6https://developer.apple.com/library/conten
      t/qa/qa1779/_index...
 
    jelder - 1 hours ago
    These should be exempt from data caps then.
 
      MikeKusold - 1 hours ago
      I don't know where you fall with Net Neutrality, but you
      can't have Net Neutrality and updates exempt from updates.
 
  icedchai - 2 minutes ago
  Do you remember when you had to use iTunes to update iOS? Being
  able to update over wifi was huge...
 
  cstrat - 30 minutes ago
  Strange my update was 1.8GB?
 
    LeoNatan25 - 21 minutes ago
    Did you have a beta release installed? Usually those are hit
    with a ?full? update when GM version pops out.
 
  0x0 - 2 hours ago
  Agreed, this is super annoying. You can install dozens of 99MB
  apps over 4G every day but nooo you can't have your broadpwn fix
  on the move. Except if you happen to have two devices with 4G,
  then you can wifi-hotspot-tether one to the other and vice versa
  for the update just fine.
 
ProfessorLayton - 1 hours ago
They still haven't addressed the permanent website data bug in
Safari.Go to Settings> Safari> Advanced> Website Data and try and
clear it. Some websites won't delete arbitrarily, and if they do,
others will stick. This happens even in private browsing.
 
  GeneticGenesis - 1 hours ago
  Have you filed a radar bug?
 
pjmlp - 2 hours ago
2 x  "A buffer overflow issue was addressed through improved memory
handling."7 x "A memory corruption issue was addressed with
improved bounds checking."Oh well....
 
  PhantomGremlin - 2 hours ago
  This is depressing.I normally shrug off security vulnerabilities
  in iOS. But so many in such a minor release?I know it's not a
  valid extrapolation ... but if there are so many being fixed just
  today, that means there are hundreds if not thousands of still
  undiscovered ones remaining.And Android is probably even worse.To
  repeat myself: this is depressing.
 
    ccrush - 1 hours ago
    https://technet.microsoft.com/en-
    us/library/security/ms17-01...This is Microsoft's patch
    covering ShadowBrokers-leaked ETERNALBLUE SMB remote code
    execution 0day. The iOS 10.3.3 is likely the response to either
    the CIA Vault7 Wikileaks stash or the ShadowBrokers NSA
    EquationGroup stash. These exploits are probably out there in
    the hands of many people, and Apple had to respond.
 
  pqdbr - 2 hours ago
  With 13x arbitrary code execution, being 5x with either kernel or
  system privileges.
 
    hellbanner - 1 hours ago
    Yes, and previous decimal versions had similarly powerful
    exploits.
 
  vijayr02 - 1 hours ago
  Or maybe... just maybe, an agency belatedly realised the
  "Defending Our Nation" part of its motto really means something.