เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 14.2 และ iPadOS 14.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 14.2 และ iPadOS 14.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 14.2 และ iPadOS 14.2
Audio
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27910: JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
Audio
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27916: JunDong Xie จาก Ant Security Light-Year Lab
CallKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจรับสองสายพร้อมกันโดยไม่มีการแจ้งให้ผู้ใช้ทราบว่ากำลังรับสายที่สองอยู่
คำอธิบาย: มีปัญหาในการจัดการสายเรียกเข้า ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบสถานะเพิ่มเติม
CVE-2020-27925: Nick Tangri
CoreAudio
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-10017: Francis ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative, JunDong Xie จาก Ant Security Light-Year Lab
CoreAudio
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27908: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
CVE-2020-27909: บุคคลนิรนามที่ทำงานร่วมกับ Trend Micro Zero Day Initiative, JunDong Xie และ XingWei Lin จาก Ant Security Light-Year Lab
CoreGraphics
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผล PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9897: S.Y. จาก ZecOps Mobile XDR, นักวิจัยนิรนาม
CoreText
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27922: Mickey Jin จาก Trend Micro
Crash Reporter
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2020-10003: Tim Michaud (@TimGMichaud) จาก Leviathan
FontParser
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27930: Google Project Zero
FontParser
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-27927: Xingwei Lin จาก Ant Security Light-Year Lab
Foundation
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10002: James Hutchins
ImageIO
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27924: Lei Sun
ImageIO
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27912: Xingwei Lin จาก Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเปิดเผยหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้ว
CVE-2020-27950: Google Project Zero
Kernel
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10016: Alex Helie
Kernel
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27932: Google Project Zero
Keyboard
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์ iOS อาจเข้าถึงรหัสผ่านที่จัดเก็บไว้ได้โดยไม่ได้รับการตรวจสอบสิทธิ์
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27917: พบโดย OSS-Fuzz
CVE-2020-27920: พบโดย OSS-Fuzz
libxml2
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-27911: พบโดย OSS-Fuzz
libxml2
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27926: พบโดย OSS-Fuzz
Logging
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-10004: Aleksandar Nikolic จาก Cisco Talos
Model I/O
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-13524: Aleksandar Nikolic จาก Cisco Talos
Model I/O
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2020-10011: Aleksandar Nikolic จาก Cisco Talos
Symptom Framework
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27899: 08Tc3wBB ที่ทำงานร่วมกับ ZecOps
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch รุ่นที่ 7, iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-27918: Liu Long จาก Ant Security Light-Year Lab
XNU
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPod touch (รุ่นที่ 7), iPad Air 2 และใหม่กว่า และ iPad mini 4 และใหม่กว่า
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2020-27935: Lior Halphon (@LIJI32)
คำขอบคุณพิเศษ
NetworkExtension
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gabriel Corona
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม