เกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดต iPhone v1.0.1

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดต iPhone v1.0.1 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่าน iTunes ดังที่อธิบายไว้ด้านล่าง

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย พูดคุย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการเปิดตัวที่จำเป็นพร้อมให้ใช้งาน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดต iPhone v1.0.1

Safari

CVE-ID: CVE-2007-2400

พร้อมให้ใช้งานสําหรับ: iPhone v1.0

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจอนุญาตให้มีการเขียนสคริปต์ข้ามไซต์

คําอธิบาย: โมเดลความปลอดภัยของ Safari ป้องกันไม่ให้ JavaScript ในหน้าเว็บระยะไกลเข้าปรับแก้หน้าเว็บนอกโดเมน สภาวะเงื่อนไขการแย่งชิง (Race Condition) ในการอัปเดตหน้าร่วมกับการเปลี่ยนเส้นทางของ HTTP อาจอนุญาตให้ JavaScript จากหน้าหนึ่งเข้าปรับแก้หน้าที่มีการเปลี่ยนเส้นทางได้ พฤติการณ์นี้อาจอนุญาตให้สามารถอ่านหรือปรับแก้คุกกี้และเพจโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการแก้ไขการควบคุมการเข้าถึงคุณสมบัติของหน้าต่าง ขอขอบคุณ Lawrence Lai, Stan Switzer และ Ed Rowe จาก Adobe Systems, Inc. สําหรับการรายงานปัญหานี้

Safari

CVE-ID: CVE-2007-3944

พร้อมให้ใช้งานสำหรับ: iPhone v1.0

ผลกระทบ: การดูไฟล์ QTL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การรันโค้ดโดยพลการ

คําอธิบาย: มีบัฟเฟอร์ล้นหน่วยความจำ Heap ในไลบรารี Perl Compatible Regular Expressions (PCRE) ที่เอ็นจิ้น JavaScript ใช้ใน Safari ผู้โจมตีอาจทําให้เกิดปัญหาซึ่งอาจนำไปสู่การรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้เยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบความถูกต้องของนิพจน์ทั่วไปสำหรับ JavaScript เพิ่มเติม ขอขอบคุณ Charlie Miller และ Jake Honoroff จาก Independent Security Evaluators สําหรับการรายงานปัญหาเหล่านี้

WebCore

CVE-ID: CVE-2007-2401

พร้อมให้ใช้งานสําหรับ: iPhone v1.0

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจอนุญาตให้มีการส่งคําขอข้ามไซต์

คําอธิบาย: มีปัญหา HTTP Injection ใน XMLHttpRequest เมื่อสร้างหมายเลขส่วนหัวลงในคําขอ HTTP ผู้โจมตีอาจทําให้เกิดปัญหาการเขียนสคริปต์ข้ามไซต์ โดยการล่อลวงให้ผู้ใช้เยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบพารามิเตอร์ส่วนหัวเพิ่มเติม ขอขอบคุณ Richard Moore จาก Westpoint Ltd. สําหรับการรายงานปัญหานี้

WebKit

CVE-ID: CVE-2007-3742

พร้อมให้ใช้งานสําหรับ: iPhone v1.0

ผลกระทบ: อักขระที่เหมือนกันใน URL สามารถใช้เพื่อปลอมแปลงเว็บไซต์ได้

คําอธิบาย: การรองรับชื่อโดเมนสากล (International Domain Name หรือ IDN) และแบบอักษร Unicode ที่ฝังอยู่ใน Safari สามารถใช้เพื่อสร้าง URL ที่มีอักขระที่เหมือนกันได้ อาจมีการใช้พฤติการณ์เหล่านี้ในเว็บไซต์ที่เป็นอันตรายเพื่อนําทางผู้ใช้ไปยังเว็บไซต์ปลอมที่ดูเหมือนจะเป็นโดเมนที่ถูกต้อง รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของชื่อโดเมนที่ได้รับการปรับปรุง ขอขอบคุณ Tomohito Yoshino จาก Business Architects Inc. สําหรับการรายงานปัญหานี้

WebKit

CVE-ID: CVE-2007-2399

พร้อมให้ใช้งานสําหรับ: iPhone v1.0

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คําอธิบาย: ประเภทการแปลงที่ไม่ถูกต้องเมื่อเรนเดอร์ชุดเฟรมอาจทําให้หน่วยความจําเสียหายได้ ผลกระทบ: การเยี่ยมชมหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ขอขอบคุณ Rhys Kidd จาก Westnet สําหรับการรายงานปัญหานี้

หมายเหตุการติดตั้ง

รายการอัปเดตนี้พร้อมให้ใช้งานเฉพาะใน iTunes และจะไม่ปรากฏในแอปพลิเคชันรายการอัปเดตซอฟต์แวร์ของคอมพิวเตอร์ หรือในเว็บไซต์รายการดาวน์โหลดจากฝ่ายบริการช่วยเหลือของ Apple ตรวจสอบให้แน่ใจว่าคุณได้เชื่อมต่ออินเทอร์เน็ตอยู่และติดตั้ง iTunes เวอร์ชั่นล่าสุดแล้วจาก (www.apple.com/itunes)

iTunes จะตรวจสอบเซิร์ฟเวอร์รายการอัปเดตของ Apple ตามกำหนดการรายสัปดาห์โดยอัตโนมัติ เมื่อตรวจพบรายการอัปเดต ระบบจะดาวน์โหลดรายการนั้นไว้ เมื่อเชื่อมต่อ iPhone แล้ว iTunes จะแสดงตัวเลือกสำหรับติดตั้งรายการอัปเดตให้ผู้ใช้ เราขอแนะนำให้ดำเนินการอัปเดตโดยทันทีหากทำได้ หากเลือก "ไม่ต้องติดตั้ง" ตัวเลือกดังกล่าวจะปรากฏขึ้นเมื่อคุณเชื่อมต่อ iPhone หรือ iPod touch ในครั้งถัดไป กระบวนการอัปเดตแบบอัตโนมัติอาจใช้เวลามากถึงหนึ่งสัปดาห์โดยขึ้นอยู่กับวันที่ที่ iTunes ตรวจสอบหารายการอัปเดต

คุณสามารถดาวน์โหลดรายการอัปเดตได้ด้วยตนเองผ่านปุ่ม "ตรวจหารายการอัปเดต" หรือตัวเลือกเมนูใน iTunes หลังจากกดปุ่มดังกล่าว คุณจะสามารถใช้รายการอัปเดตนี้ได้เมื่อ iPhone เชื่อมต่อกับคอมพิวเตอร์ของคุณ

หากต้องการตรวจสอบว่า iPhone ได้รับการอัปเดตแล้วหรือไม่ ให้ดำเนินการดังนี้

  1. ไปที่ การตั้งค่า บน iPhone

  2. คลิก ทั่วไป

  3. คลิก เกี่ยวกับ เวอร์ชั่นหลังจากปรับใช้รายการอัปเดตนี้จะเป็น "1.0.1 (1C25)"

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: