เกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดตซอฟต์แวร์ iOS 6.0.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดตซอฟต์แวร์ iOS 6.0.1 ซึ่งสามารถดาวน์โหลดและติดตั้งได้ โดยใช้ iTunes

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย เพื่อเรียนรู้เกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูเว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีใช้ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

iOS 6.0.1

  • เคอร์เนล

    มีให้สำหรับ: iPhone 3GS และ iPod touch (รุ่นที่ 4) และเวอร์ชั่นที่ใหม่กว่า, iPad 2 และเวอร์ชั่นที่ใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายหรือเป็นภัยต่อ iOS อาจสามารถกำหนดที่อยู่ในเคอร์เนลได้

    คำอธิบาย: ปัญหาการเปิดเผยข้อมูลที่อยู่ในการจัดการ API ที่เกี่ยวกับนามสกุลเคอร์เนล การตอบสนองที่มีคีย์ OSBundleMachOHeaders ที่อาจมีอยู่ในที่อยู่เคอร์เนล ซึ่งอาจช่วยในการบายพาสการป้องกันการสุ่มตำแหน่งหน่วยความจำ (Adress Space Layout Randomization) ได้ ปัญหานี้แก้ไขได้ด้วยการไม่เลื่อนที่อยู่ก่อนจะส่งกลับ

    CVE-ID

    CVE-2012-3749 : Mark Dowd แห่ง Azimuth Security, Eric Monti แห่ง Square และนักวิจัยที่ไม่ระบุชื่อ

  • ล็อกรหัสผ่าน

    มีให้สำหรับ: iPhone 3GS และ iPod touch (รุ่นที่ 4) และเวอร์ชั่นที่ใหม่กว่า, iPad 2 และเวอร์ชั่นที่ใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานอุปกรณ์ได้อาจสามารถเข้าถึงบัตรผ่าน Passbook ได้โดยไม่ต้องป้อนรหัสผ่าน

    คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการบัตรผ่าน Passbook ที่หน้าจอล็อก ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการของบัตรผ่าน Passbook ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2012-3750 : Anton Tsviatkou

  • WebKit

    มีให้สำหรับ: iPhone 3GS และ iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาเวลาการตรวจสอบถึงเวลาที่ใช้ในการจัดการอาร์เรย์ JavaScript ปัญหานี้แก้ไขได้ผ่านการตรวจสอบอาร์เรย์ JavaScript เพิ่มเติม

    CVE-ID

    CVE-2012-3748 : Joost Pol และ Daan Keuper แห่ง Certified Secure ที่ทำงานร่วมกับ HP TippingPoint's Zero Day Initiative

  • WebKit

    มีให้สำหรับ: iPhone 3GS และ iPod touch (รุ่นที่ 4) และเวอร์ชั่นที่ใหม่กว่า, iPad 2 และเวอร์ชั่นที่ใหม่กว่า

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหา use-after-free ในการจัดการภาพ SVG ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2012-5112 : Pinkie Pie ที่ทำงานร่วมกับการแข่งขัน Pwnium 2 ของ Google

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: