เกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X 10.4.11 และรายการอัปเดตความปลอดภัย 2007-008
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.4.11 และรายการอัปเดตความปลอดภัย 2007-008 ซึ่งสามารถดาวน์โหลดและติดตั้งได้ผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์หรือจากรายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
Mac OS X v10.4.11 และรายการอัปเดตความปลอดภัย 2007-008
Flash Player Plug-in
CVE-ID: CVE-2007-3456
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเปิดคอนเทนต์ของ Flash ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: มีปัญหาการตรวจสอบอินพุตใน Adobe Flash Player ผู้โจมตีอาจทำให้มีการใช้โค้ดโดยอำเภอใจได้โดยการล่อลวงให้ผู้ใช้เปิดคอนเทนต์ของ Flash ที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการอัปเดต Adobe Flash Player เป็นเวอร์ชั่น 9.0.47.0 ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ Adobe ที่ http://www.adobe.com/support/security/bulletins/apsb07-12.html
AppleRAID
CVE-ID: CVE-2007-4678
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเปิดดิสก์อิมเมจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานได้โดยไม่คาดคิด
คำอธิบาย: ปัญหา Null Pointer Dereference ใน AppleRAID อาจเกิดขึ้นเมื่อต่อเชื่อมดิสก์อิมเมจแบบสไตรพ์ ซึ่งอาจทำให้ระบบปิดการทำงานได้โดยไม่คาดคิด โปรดทราบว่า Safari จะต่อเชื่อมดิสก์อิมเมจโดยอัตโนมัติเมื่อเปิดใช้งาน "เปิดไฟล์ที่ปลอดภัยเมื่อดาวน์โหลดเสร็จแล้ว" การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบดิสก์อิมเมจเพิ่มเติม ขอขอบคุณ Mark Tull จาก SSAM1 ที่ University of Hertfordshire และ Joel Vink จาก Zetra Corporation สำหรับการรายงานปัญหานี้
BIND
CVE-ID: CVE-2007-2926
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้โจมตีอาจสามารถควบคุมคอนเทนต์ที่ได้รับจากเซิร์ฟเวอร์ DNS ได้
คำอธิบาย: ISC BIND 9 ไปจนถึง 9.5.0a5 ใช้ตัวสร้างเลขสุ่มที่เดาง่ายในระหว่างการสร้าง ID ข้อสอบถาม DNS ในการตอบคำถามของตัวแก้ไขหรือการส่งข้อความแจ้งไปยังเซิร์ฟเวอร์ชื่อรอง ซึ่งจะช่วยให้ผู้โจมตีระยะไกลสามารถคาดเดา ID ข้อสอบถามถัดไปและโจมตีด้วยแคช DNS ได้ง่ายขึ้น การอัปเดตนี้จะแก้ไขปัญหาโดยการปรับปรุงตัวสร้างเลขสุ่มให้ดียิ่งขึ้น
bzip2
CVE-ID: CVE-2005-0953, CVE-2005-1260
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ช่องโหว่จำนวนมากใน bzip2
คำอธิบาย: bzip2 ได้รับการอัปเดตเป็นเวอร์ชั่น 1.0.4 เพื่อแก้ไขการปฏิเสธการให้บริการจากระยะไกลและสภาวะการแข่งขันที่เกิดขึ้นระหว่างการแก้ไขสิทธิ์อนุญาตไฟล์ สามารถดูข้อมูลเพิ่มเติมได้ที่เว็บไซต์ bzip2 ที่ http://bzip.org/
CFFTP
CVE-ID: CVE-2007-4679
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ไคลเอนต์ FTP ของผู้ใช้สามารถควบคุมจากระยะไกลเพื่อเชื่อมต่อกับโฮสต์อื่นๆ ได้
คำอธิบาย: มีปัญหาการใช้งานในส่วน File Transfer Protocol (FTP) ของ CFNetwork เซิร์ฟเวอร์ FTP สามารถทำให้ไคลเอนต์เชื่อมต่อกับโฮสต์อื่นได้โดยการส่งการตอบกลับที่ออกแบบมาเพื่อประสงค์ร้ายไปยังคำสั่ง PASV (พาสซีฟ) ของ FTP การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบที่อยู่ IP เพิ่มเติม ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4 ขอขอบคุณ Dr. Bob Lopez PhD สำหรับการรายงานปัญหานี้
CFNetwork
CVE-ID: CVE-2007-4680
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้ใบรับรองที่ไม่น่าเชื่อถือดูเหมือนเชื่อถือได้
คำอธิบาย: มีปัญหาในการตรวจสอบใบรับรอง ผู้โจมตีที่เป็นคนกลางอาจสามารถนำผู้ใช้ไปยังเว็บไซต์ที่ถูกต้องโดยใช้ใบรับรอง SSL ที่ถูกต้อง จากนั้นเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลอมที่ดูเหมือนเชื่อถือได้ ซึ่งอาจทำให้สามารถเก็บรวบรวมข้อมูลประจำตัวของผู้ใช้หรือข้อมูลอื่นๆ ได้ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น ขอขอบคุณ Marko Karppinen, Petteri Kamppuri และ Nikita Zhuk จาก MK&C สำหรับการรายงานปัญหานี้
CFNetwork
CVE-ID: CVE-2007-0464
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การแยกวิเคราะห์การตอบกลับ HTTP โดยใช้เฟรมเวิร์ก CFNetwork อาจส่งผลให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: มีปัญหา Null Pointer Dereference อยู่ในเฟรมเวิร์ก CFNetwork ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดได้โดยการล่อลวงให้ผู้ใช้ใช้แอปพลิเคชันที่มีความเสี่ยงเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ที่เป็นอันตราย ไม่มีแอปพลิเคชันที่มีความเสี่ยงที่ทราบ ปัญหานี้ไม่ได้ทำให้มีการใช้รหัสโดยอำเภอใจ ซึ่งมีการอธิบายไว้ในเว็บไซต์ Month of Apple Bugs (MOAB-25-01-2007) การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบการตอบกลับ HTTP เพิ่มเติม แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4
CoreFoundation
CVE-ID: CVE-2007-4681
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การอ่านลำดับชั้นไดเรกทอรีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นหนึ่งไบต์อาจเกิดขึ้นใน CoreFoundation เมื่อแสดงรายการเนื้อหาของไดเรกทอรี ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจโดยการล่อลวงให้ผู้ใช้อ่านลำดับชั้นไดเรกทอรีที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการตรวจสอบให้แน่ใจว่าบัฟเฟอร์ปลายทางถูกปรับขนาดให้เก็บข้อมูลได้
CoreText
CVE-ID: CVE-2007-4682
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การดูเนื้อหาข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีช่องโหว่ของตัวชี้วัตถุที่ยังไม่ได้กำหนดค่าในการจัดการเนื้อหาข้อความ ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจโดยการล่อลวงให้ผู้ใช้ดูเนื้อหาข้อความที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบตัวชี้วัตถุเพิ่มเติม ขอขอบคุณ Will Dormann จาก CERT/CC สำหรับการรายงานปัญหานี้
Kerberos
CVE-ID: CVE-2007-3999, CVE-2007-4743
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการหรือมีการใช้รหัสโดยอำเภอใจได้หากมีการเปิดใช้งาน Kerberos administration daemon
คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นทับกันใน MIT Kerberos administration daemon (kadmind) ซึ่งอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ ดูข้อมูลเพิ่มเติมได้ที่เว็บไซต์ MIT Kerberos ที่ http://web.mit.edu/Kerberos/ ปัญหานี้จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4
Kernel
CVE-ID: CVE-2007-3749
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ
คำอธิบาย: เมื่อใช้ไบนารี่ที่มีสิทธิ์ เคอร์เนลจะไม่รีเซ็ตพอร์ตของเธรด Mach หรือพอร์ตข้อยกเว้นของเธรดในปัจจุบัน ด้วยเหตุนี้ ผู้ใช้เฉพาะเครื่องจึงอาจสามารถเขียนข้อมูลโดยอำเภอใจลงในพื้นที่สำหรับที่อยู่ของกระบวนการที่ทำงานเป็นระบบ ซึ่งอาจทำให้เกิดการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการรีเซ็ตพอร์ตพิเศษทั้งหมดที่จำเป็นต้องรีเซ็ต ขอขอบคุณนักวิจัยนิรนามที่ทำงานร่วมกับ VeriSign iDefense VCP สำหรับการรายงานปัญหานี้
Kernel
CVE-ID: CVE-2007-4683
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: กระบวนการที่จำกัดผ่านทางคำสั่งเรียกระบบ chroot อาจเข้าถึงไฟล์โดยอำเภอใจ
คำอธิบาย: กลไก chroot มีไว้เพื่อจำกัดชุดของไฟล์ที่กระบวนการสามารถเข้าถึงได้ ผู้โจมตีอาจบายพาสการจำกัดนี้โดยการเปลี่ยนไดเรกทอรีที่ทำงานโดยใช้เส้นทางที่เกี่ยวข้อง การอัปเดตนี้จะแก้ไขปัญหาโดยการปรับปรุงการตรวจสอบการเข้าถึงให้ดียิ่งขึ้น ขอขอบคุณ Johan Henselmans และ Jesper Skov สำหรับการรายงานปัญหานี้
Kernel
CVE-ID: CVE-2007-4684
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจได้รับสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาจำนวนเต็มเกินในคำสั่งเรียกระบบ i386_set_ldt ซึ่งอาจทำให้ผู้ใช้เฉพาะเครื่องสามารถใช้โค้ดที่มีสิทธิ์ในระดับที่สูงขึ้นได้โดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบอาร์กิวเมนต์ของอินพุตให้ดียิ่งขึ้น ขอขอบคุณ RISE Security สำหรับการรายงานปัญหานี้
Kernel
CVE-ID: CVE-2007-4685
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจได้รับสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาในการจัดการตัวอธิบายไฟล์มาตรฐานขณะเรียกใช้โปรแกรม setuid และ setgid ซึ่งอาจทำให้ผู้ใช้เฉพาะเครื่องได้รับสิทธิ์ของระบบได้โดยการเรียกใช้โปรแกรม seutid ที่มีตัวอธิบายไฟล์มาตรฐานในสถานะที่ไม่คาดคิด การอัปเดตนี้จะแก้ไขปัญหาโดยการเริ่มใช้งานตัวอธิบายไฟล์มาตรฐานให้อยู่ในสถานะที่ทราบเมื่อเรียกใช้โปรแกรม setuid หรือ setgid ขอขอบคุณ Ilja van Sprundel ซึ่งก่อนหน้านี้ทำงานให้กับ Suresec Inc. สำหรับการรายงานปัญหานี้
Kernel
CVE-ID: CVE-2006-6127
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิด
คำอธิบาย: มีปัญหาการใช้งานใน kevent() เมื่อลงทะเบียนเหตุการณ์เคอร์เนล NOTE_TRACK ด้วยคิวเหตุการณ์เคอร์เนลที่กระบวนการหลักสร้างขึ้น ซึ่งอาจทำให้ผู้ใช้เฉพาะเครื่องทำให้ระบบปิดการทำงานโดยไม่คาดคิด ซึ่งมีการอธิบายปัญหานี้ไว้ในเว็บไซต์ Month of Kernel Bugs (MOKB-24-11-2006) การอัปเดตนี้จะแก้ไขปัญหาโดยการลบการรองรับเหตุการณ์ NOTE_TRACK
Kernel
CVE-ID: CVE-2007-4686
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: คำขอ ioctl ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ
คำอธิบาย: มีปัญหาจำนวนเต็มเกินในการจัดการคำขอ ioctl เมื่อส่งคำขอ ioctl ที่ออกแบบมาเพื่อประสงค์ร้าย ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบคำขอ ioctl เพิ่มเติม ขอขอบคุณ Tobias Klein จาก www.trapkit.de สำหรับการรายงานปัญหานี้
remote_cmds
CVE-ID: CVE-2007-4687
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: หากเปิดใช้งาน tftpd การกำหนดค่าเริ่มต้นจะช่วยให้ไคลเอนต์สามารถเข้าถึงเส้นทางใดก็ได้ในระบบ
คำอธิบาย: ตามค่าเริ่มต้นแล้ว ไดเรกทอรี /private/tftpboot/private จะมีลิงก์สัญลักษณ์ไปยังไดเรกทอรีระดับรูท ซึ่งจะช่วยให้ไคลเอนต์สามารถเข้าถึงเส้นทางใดก็ได้ในระบบ การอัปเดตนี้จะแก้ไขปัญหาโดยการนำไดเรกทอรี /private/tftpboot/private ออก ขอขอบคุณ James P. Javery จาก Stratus Data Systems, Inc. สำหรับการรายงานปัญหานี้
Networking
CVE-ID: CVE-2007-4688
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้ระยะไกลอาจได้รับที่อยู่ทั้งหมดของโฮสต์
คำอธิบาย: มีปัญหาการใช้งานในกลไกข้อสอบถามข้อมูลของโหนด ซึ่งอาจทำให้ผู้ใช้ระยะไกลสามารถสอบถามที่อยู่ทั้งหมดของโฮสต์ได้ ซึ่งรวมถึงที่อยู่ในพื้นที่เชื่อมต่อด้วย การอัปเดตนี้จะแก้ไขปัญหาโดยการลดข้อสอบถามข้อมูลของโหนดจากระบบที่ไม่ได้อยู่บนเครือข่ายเฉพาะที่ ขอขอบคุณ Arnaud Ebalard จาก EADS Innovation Works สำหรับการรายงานปัญหานี้
Networking
CVE-ID: CVE-2007-4269
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: หากเปิดใช้งาน AppleTalk ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ
คำอธิบาย: มีปัญหาจำนวนเต็มเกินในการจัดการข้อความ ASP ด้วย AppleTalk เมื่อส่งข้อความ ASP ที่ออกแบบมาเพื่อประสงค์ร้ายในช่อง AppleTalk ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบข้อความ ASP เพิ่มเติม ขอขอบคุณ Sean Larsson จาก VeriSign iDefense Labs สำหรับการรายงานปัญหานี้
Networking
CVE-ID: CVE-2007-4689
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: แพ็คเก็ต IPv6 บางรายการอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหา Double-free ในการจัดการแพ็คเก็ต IPv6 บางรายการ ซึ่งอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการจัดการแพ็คเก็ต IPv6 ให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่ใช้โปรเซสเซอร์ Intel ขอขอบคุณ Bhavesh Davda จาก Vmware และ Brian "chort" Keefer จาก Tumbleweed Communications สำหรับการรายงานปัญหานี้
Networking
CVE-ID: CVE-2007-4267
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: หากเปิดใช้งาน AppleTalk และอยู่ในโหมดกำหนดเส้นทาง ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: การเพิ่มโซน AppleTalk ใหม่อาจทำให้เกิดปัญหาบัฟเฟอร์ล้นทับกัน เมื่อส่งคำขอ ioctl ที่ออกแบบมาเพื่อประสงค์ร้ายในช่อง AppleTalk ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาใน AppleTalk ผ่านการปรับปรุงการตรวจสอบขอบเขตในคำขอ ioctl ให้่ดียิ่งขึ้น ขอขอบคุณนักวิจัยนิรนามที่ทำงานร่วมกับ VeriSign iDefense VCP สำหรับการรายงานปัญหานี้
Networking
CVE-ID: CVE-2007-4268
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: หากเปิดใช้งาน AppleTalk ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ
คำอธิบาย: มีข้อผิดพลาดของเลขคณิตศาสตร์ใน AppleTalk เมื่อจัดการกับการจัดสรรหน่วยความจำ ซึ่งอาจทำให้เกิดบัฟเฟอร์ล้นแบบพอกพูนได้ เมื่อส่งข้อความ AppleTalk ที่ออกแบบมาเพื่อประสงค์ร้าย ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสที่มีสิทธิ์ของระบบโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบขอบเขตในข้อความ AppleTalk ให้ดียิ่งขึ้น ขอขอบคุณ Sean Larsson จาก VeriSign iDefense Labs สำหรับการรายงานปัญหานี้
NFS
CVE-ID: CVE-2007-4690
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: คำสั่ง AUTH_UNIX RPC ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Double Free ใน NFS อาจเกิดขึ้นเมื่อประมวลผลคำสั่ง AUTH_UNIX RPC เมื่อส่งคำสั่ง AUTH_UNIX RPC ที่ออกแบบมาเพื่อประสงค์ร้ายผ่าน TCP หรือ UDP ผู้โจมตีระยะไกลอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบแพ็คเก็ต AUTH_UNIX RPC ให้ดียิ่งขึ้น ขอขอบคุณ Alan Newson จาก NGSSoftware และ Renaud Deraison จาก Tenable Network Security, Inc. สำหรับการรายงานปัญหานี้
NSURL
CVE-ID: CVE-2007-4691
มีให้บริการสำหรับ: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจส่งผลให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาเกี่ยวกับการยึดตามตัวพิมพ์ใน NSURL เมื่อพิจารณาว่า URL อ้างอิงระบบไฟล์ภายในเครื่องหรือไม่ ซึ่งอาจทำให้ผู้เรียกใช้ API ตัดสินใจด้านความปลอดภัยไม่ถูกต้องและนำไปสู่การใช้ไฟล์ในระบบเฉพาะเครื่องหรือดิสก์โวลุ่มเครือข่ายโดยไม่มีคำเตือนที่เหมาะสม การอัปเดตนี้จะแก้ไขปัญหาโดยใช้การเปรียบเทียบแบบไม่ยึดตามตัวพิมพ์
Safari
CVE-ID: CVE-2007-0646
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเปิดไฟล์ .download ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีช่องโหว่ของสตริงรูปแบบใน Safari ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจโดยการล่อลวงให้ผู้ใช้เปิดไฟล์ .download ที่มีชื่อที่ออกแบบมาเพื่อประสงค์ร้าย ซึ่งมีการอธิบายไว้ในเว็บไซต์ Month of Apple Bugs (MOAB-30-01-2007) การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการจัดการสตริงรูปแบบให้ดียิ่งขึ้น
Safari
CVE-ID: CVE-2007-4692
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ปัญหาในการเรียกดูแบบแถบใน Safari อาจทำให้เกิดการเปิดเผยข้อมูลประจำตัวของผู้ใช้
คำอธิบาย: มีปัญหาการใช้งานในคุณสมบัติการเรียกดูแบบแถบของ Safari หากไซต์ที่กำลังโหลดใช้การตรวจสอบสิทธิ์ HTTP อยู่ในแถบอื่นที่ไม่ใช่แถบที่ใช้งานอยู่ แผ่นงานการตรวจสอบสิทธิ์อาจแสดงขึ้น แม้ว่าจะมองไม่เห็นแถบและหน้าที่เกี่ยวข้องก็ตาม ผู้ใช้อาจพิจารณาแผ่นงานที่มาจากหน้าที่ใช้งานอยู่ในปัจจุบัน ซึ่งอาจทำให้เกิดการเปิดเผยข้อมูลประจำตัวของผู้ใช้ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการจัดการแผ่นงานการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น ขอขอบคุณ Michael Roitzsch จาก Technical University Dresden สำหรับการรายงานปัญหานี้
SecurityAgent
CVE-ID: CVE-2007-4693
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: บุคคลที่สามารถเข้าใช้งานตัวเครื่องของระบบอาจสามารถบายพาสกล่องโต้ตอบการตรวจสอบสิทธิ์ของโปรแกรมรักษาหน้าจอได้
คำอธิบาย: เมื่อปลุกคอมพิวเตอร์จากโหมดพักเครื่องหรือโปรแกรมรักษาหน้าจอ บุคคลที่สามารถเข้าใช้งานตัวเครื่องอาจสามารถส่งการกดปุ่มไปยังกระบวนการที่ทำงานอยู่เบื้องหลังกล่องโต้ตอบการตรวจสอบสิทธิ์ของโปรแกรมรักษาหน้าจอได้ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการจัดการโฟกัสแป้นพิมพ์ระหว่างช่องข้อความที่ปลอดภัยให้ดียิ่งขึ้น ขอขอบคุณ Faisal N. Jawdat สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4694
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ไฟล์ภายในเครื่องอาจโหลดมาจากเนื้อหาระยะไกล
คำอธิบาย: Safari ไม่บล็อก file:// URLs เมื่อโหลดแหล่งข้อมูล ผู้โจมตีระยะไกลอาจสามารถดูคอนเทนต์ของไฟล์ภายในเครื่องได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย ซึ่งอาจทำให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อน การอัปเดตนี้จะแก้ไขปัญหาโดยการป้องกันไม่ให้มีการโหลดไฟล์ภายในเครื่องมาจากเนื้อหาระยะไกล ขอขอบคุณ lixlpixel สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4695
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การอัปโหลดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการดัดแปลงข้อมูลแบบฟอร์ม
คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการจัดการแบบฟอร์ม HTML ผู้โจมตีอาจสามารถเปลี่ยนแปลงค่าของช่องแบบฟอร์มได้โดยการล่อลวงให้ผู้ใช้อัปโหลดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้าย ซึ่งอาจทำให้เกิดลักษณะการทำงานที่ไม่คาดคิดเมื่อเซิร์ฟเวอร์ประมวลผลแบบฟอร์ม การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการจัดการการอัปโหลดไฟล์ให้ดียิ่งขึ้น ขอขอบคุณ Bodo Ruskamp จาก Itchigo Communications GmbH สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4696
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจทำให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อน
คำอธิบาย: มีปัญหาสภาวะการแข่งขันในการจัดการการเปลี่ยนหน้าของ Safari ผู้โจมตีอาจสามารถเก็บข้อมูลที่ป้อนลงในแบบฟอร์มบนเว็บไซต์อื่นได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ประสงค์ร้าย ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน การอัปเดตนี้จะแก้ไขปัญหาโดยการล้างข้อมูลแบบฟอร์มอย่างเหมาะสมในระหว่างการเปลี่ยนหน้า ขอขอบคุณ Ryan Grisso จาก NetSuite สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4697
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการประวัติของเบราว์เซอร์ ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจโดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย ขอขอบคุณ David Bloom สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4698
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจส่งผลให้เกิดการเขียนสคริปต์ข้ามไซต์
คำอธิบาย: Safari อนุญาตให้เหตุการณ์ JavaScript สามารถเชื่อมโยงกับเฟรมที่ไม่ถูกต้องได้ ผู้โจมตีอาจทำให้เกิดการใช้ JavaScript ในบริบทของเว็บไซต์อื่นได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการเชื่อมโยงเหตุการณ์ JavaScript กับเฟรมต้นทางที่ถูกต้อง
WebCore
CVE-ID: CVE-2007-3758
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการเขียนสคริปต์ข้ามไซต์
คำอธิบาย: ปัญหาการเขียนสคริปต์ข้ามไซต์ใน Safari ทำให้เว็บไซต์ที่ประสงค์ร้ายสามารถตั้งค่าคุณสมบัติหน้าต่าง JavaScript ของเว็บไซต์ที่ให้บริการจากโดเมนอื่นได้ ผู้โจมตีอาจสามารถรับข้อมูลหรือกำหนดสถานะหน้าต่างและตำแหน่งที่ตั้งของหน้าที่มาจากเว็บไซต์อื่นได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการจัดหาการปรับปรุงการควบคุมการเข้าถึงที่ดียิ่งขึ้นในคุณสมบัติเหล่านี้ ขอขอบคุณ Michal Zalewski จาก Google Inc. สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-3760
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจส่งผลให้เกิดการเขียนสคริปต์ข้ามไซต์
คำอธิบาย: ปัญหาการเขียนสคริปต์ข้ามไซต์ใน Safari จะทำให้เว็บไซต์ที่ประสงค์ร้ายสามารถบายพาสนโยบายต้นกำเนิดเดียวกันได้ด้วยการโฮสต์วัตถุแบบฝังที่มี URL ของ JavaScript ผู้โจมตีอาจทำให้เกิดการใช้ JavaScript ในบริบทของเว็บไซต์อื่นได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการจำกัดการใช้แบบแผน URL ของ JavaScript และเพิ่มการตรวจสอบต้นกำเนิดเพิ่มเติมสำหรับ URL เหล่านี้ ขอขอบคุณ Michal Zalewski จาก Google Inc. และ Secunia Research สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-4671
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: JavaScript บนเว็บไซต์อาจเข้าถึงหรือจัดการเนื้อหาของเอกสารที่ให้บริการผ่าน HTTPS
คำอธิบาย: ปัญหาใน Safari ทำให้เนื้อหาที่มาจาก HTTP สามารถเปลี่ยนหรือเข้าถึงเนื้อหาที่มาจาก HTTPS ในโดเมนเดียวกันได้ ผู้โจมตีอาจทำให้เกิดการใช้ JavaScript ในบริบทของหน้าเว็บ HTTPS ในโดเมนนั้นได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาโดยการป้องกันไม่ให้ JavaScript เข้าถึงเฟรม HTTPS จากเฟรม HTTP ได้ ขอขอบคุณ Keigo Yamazaki จาก LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) สำหรับการรายงานปัญหานี้
WebCore
CVE-ID: CVE-2007-3756
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: การเข้าไปที่เว็บไซต์ที่ประสงค์ร้ายอาจทำให้มีการเปิดเผยเนื้อหาของ URL
คำอธิบาย: Safari อาจอนุญาตให้หน้าเว็บอ่าน URL ที่กำลังดูอยู่ในหน้าต่างหลักได้ ผู้โจมตีอาจสามารถรับ URL ของหน้าที่ไม่เกี่ยวข้องได้โดยการล่อลวงให้ผู้ใช้เข้าไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบความปลอดภัยข้ามโดเมนให้ดียิ่งขึ้น ขอขอบคุณ Michal Zalewski จาก Google Inc. และ Secunia Research สำหรับการรายงานปัญหานี้
WebKit
CVE-ID: CVE-2007-4699
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: แอปพลิเคชันที่ไม่ได้รับอนุญาตอาจเข้าถึงกุญแจส่วนตัวที่ Safari เพิ่มไปยังพวงกุญแจได้
คำอธิบาย: ตามค่าเริ่มต้นแล้ว แอปพลิเคชันทั้งหมดจะเข้าถึงกุญแจได้โดยไม่มีการเตือนหาก Safari เพิ่มกุญแจส่วนตัวไปยังพวงกุญแจ การอัปเดตนี้จะแก้ไขปัญหานี้โดยการขออนุญาตผู้ใช้เมื่อมีแอปพลิเคชันอื่นที่ไม่ใช่ Safari พยายามใช้กุญแจ
WebKit
CVE-ID: CVE-2007-4700
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้ Safari ส่งข้อมูลที่ระบุจากระยะไกลไปยังพอร์ต TCP โดยอำเภอใจ
คำอธิบาย: Safari อาจอนุญาตให้เว็บไซต์ที่ประสงค์ร้ายส่งข้อมูลที่ระบุจากระยะไกลไปยังพอร์ต TCP โดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการบล็อกการเข้าถึงบางพอร์ต ขอขอบคุณ Kostas G. Anagnostakis จาก Institute for Infocomm Research ในสิงคโปร์ และ Spiros Antonatos จาก FORTH-ICS ในกรีซ สำหรับการรายงานปัญหานี้
WebKit
CVE-ID: CVE-2007-4701
มีให้บริการสำหรับ: Mac OS X v10.4 ถึง Mac OS X v10.4.10, Mac OS X Server v10.4 ถึง Mac OS X Server v10.4.10
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านเนื้อหาของไฟล์ PDF ที่เปิดอยู่ได้
คำอธิบาย: WebKit/Safari จะสร้างไฟล์ชั่วคราวอย่างไม่ปลอดภัยเมื่อแสดงตัวอย่างไฟล์ PDF ซึ่งอาจทำให้ผู้ใช้เฉพาะเครื่องสามารถเข้าถึงเนื้อหาของไฟล์ได้ และอาจทำให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อน การอัปเดตนี้จะแก้ไขปัญหาโดยการใช้สิทธิ์อนุญาตที่จำกัดมากขึ้นสำหรับไฟล์ชั่วคราวในระหว่างการแสดงตัวอย่าง PDF ขอขอบคุณ Jean-Luc Giraud และ Moritz Borgmann จาก ETH Zurich สำหรับการรายงานปัญหานี้
สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบุคคลที่สามมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของผู้ใช้เท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อขอข้อมูลเพิ่มเติม