เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 16.4 และ iPadOS 16.4
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 16.4 และ iPadOS 16.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 16.4 และ iPadOS 16.4
เปิดตัวเมื่อวันที่ 27 มีนาคม 2023
Accessibility
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-23541: Csaba Fitzl (@theevilbit) จาก Offensive Security
App Store
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-42830: Adam M.
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023, อัปเดตเมื่อวันที่ 16 กรกฎาคม 2024
Apple Neural Engine
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CVE-2023-27959: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-27970: Mohamed GHANNAM
Apple Neural Engine
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: คำเชิญบนปฏิทินที่ออกแบบมาเพื่อประสงค์ร้ายอาจถอนข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปในแซนด์บ็อกซ์อาจระบุได้ว่าแอปใดกำลังใช้กล้องอยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดเกี่ยวกับความสามารถในการสังเกตสถานะแอป
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-23494: Itay Iellin จาก General Motors Product Cyber Security
ColorSync
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27955: JeongOhKyea
Core Bluetooth
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลแพ็กเก็ตบลูทูธที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-23528: Jianjun Dai และ Guang Gong จาก 360 Vulnerability Research Institute
CoreCapture
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-28181: Tingting Yin จาก Tsinghua University
CoreServices
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-40398: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
Find My
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
FontParser
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32366: Ye Zhang (@VAR10CK) จาก Baidu Security
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
FontParser
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-27956: Ye Zhang (@VAR10CK) จาก Baidu Security
อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023
Foundation
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ plist ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27937: นักวิจัยนิรนาม
iCloud
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ไฟล์จากโฟลเดอร์ iCloud ที่แชร์โดยฉันอาจเลี่ยง Gatekeeper ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบเพิ่มเติมโดย Gatekeeper สำหรับไฟล์ที่ดาวน์โหลดจากโฟลเดอร์ iCloud ที่แชร์โดยฉัน
CVE-2023-23526: Jubaer Alnazi จาก TRS Group of Companies
Identity Services
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-27928: Csaba Fitzl (@theevilbit) จาก Offensive Security
ImageIO
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23535: ryuzaki
ImageIO
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab และ Jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ImageIO
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: jzhu ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative และ Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: ผู้ใช้อาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
Kernel
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-28185: Pan ZhenPeng จาก STAR Labs SG Pte. Ltd.
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: ผู้โจมตีที่สั่งให้โค้ดทำงานในระดับเคอร์เนลได้แล้ว อาจสามารถหลบเลี่ยงกลไกป้องกันปัญหาช่องโหว่หน่วยความจำเคอร์เนลได้ด้วย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32424: Zechao Cai (@Zech4o) จาก Zhejiang University
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-27969: Adam Doupé จาก ASU SEFCOM
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-27933: sqrtpwn
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-23536: Félix Poulin-Bélanger และ David Pan Ogea
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023, อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023
LaunchServices
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตอาจไม่มีการตั้งค่าสถานะกักกัน
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-27943: นักวิจัยนิรนาม, Brandon Dalton (@partyD0lphin) จาก Red Canary, Milan Tenk และ Arthur Valiev จาก F-Secure Corporation
อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023
LaunchServices
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-41075: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Magnifier
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจดูภาพล่าสุดที่ใช้ในแว่นขยายจากหน้าจอล็อคได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal
เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023
NetworkExtension
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมเซิร์ฟเวอร์ VPN ที่กำหนดค่าด้วยการตรวจสอบสิทธิ์แบบ EAP เท่านั้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-28182: Zhuowei Zhang
Photos
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2023-23523: developStorm
Podcasts
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจสร้างปุ่มที่คั่นหน้าบนหน้าจอโฮมโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-28194: Anton Spivak
Sandbox
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม
CVE-2023-27963: Jubaer Alnazi Jabin จาก TRS Group of Companies และ Wenchao Li และ Xiaolong Bai จาก Alibaba Group
TCC
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหา Denial of Service ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-28188: Xin Huang (@11iaxH)
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: นโยบายความปลอดภัยคอนเทนต์เพื่อบล็อกโดเมนที่มีตัวอักษรแทน (Wildcard) อาจล้มเหลว
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken จาก imec-DistriNet, KU Leuven
เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023
WebKit
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) จาก Team ApplePIE
เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) และ Valentin Pashkov จาก Kaspersky
เพิ่มรายการเมื่อ 21 มิถุนายน 2023 อัปเดตเมื่อ 1 สิงหาคม 2023
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 248615
CVE-2023-27932: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก
WebKit Bugzilla: 250837
CVE-2023-27954: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) จาก Team ApplePIE
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 249434
CVE-2014-1745: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
WebKit PDF
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 249169
CVE-2023-32358: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023
WebKit Web Inspector
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) จาก SSD Labs
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
คำขอบคุณพิเศษ
Activation Lock
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Mina
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Core Location
เราขอขอบคุณสำหรับความช่วยเหลือจาก IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani และ Robert Kott
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
CoreServices
เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)
file_cmds
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lukas Zronek
Heimdal
เราขอขอบคุณสำหรับความช่วยเหลือจาก Evgeny Legerov จาก Intevydis
ImageIO
เราขอขอบคุณสำหรับความช่วยเหลือจาก Meysam Firouzi @R00tkitSMM
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Michaud (@TimGMichaud) จาก Moveworks.ai
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
lldb
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
เราขอขอบคุณสำหรับความช่วยเหลือของ Chen Zhang, Fabian Ising จาก FH Münster University of Applied Sciences, Damian Poddebniak จาก FH Münster University of Applied Sciences, Tobias Kappert จาก Münster University of Applied Sciences, Christoph Saatjohann จาก Münster University of Applied Sciences, Sebastian Schinzel จาก Münster University of Applied Sciences และ Merlin Chlosta จาก CISPA Helmholtz Center for Information Security
อัปเดตรายการเมื่อวันที่ 1 พฤษภาคม 2023
Messages
เราขอขอบคุณสำหรับความช่วยเหลือจาก Idriss Riouak, Anıl özdil และ Gurusharan Singh
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
Password Manager
เราขอขอบคุณสำหรับความช่วยเหลือจาก OCA Creations LLC และ Sebastian S. Andersen
เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023
Safari Downloads
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andrew Gonzalez
Status Bar
เราขอขอบคุณสำหรับความช่วยเหลือจาก N และ jiaxu li
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
Telephony
เราขอขอบคุณสำหรับความช่วยเหลือของ CheolJun Park จาก KAIST SysSec Lab
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebKit Web Inspector
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม