เกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7 สำหรับ iPhone
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7 ซึ่งสามารถดาวน์โหลดและติดตั้งโดยใช้ iTunes
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"
รายการอัปเดตซอฟต์แวร์ iOS 4.2.7 สำหรับ iPhone
Certificate Trust Policy
มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ
คำอธิบาย: มีหลายใบรับรอง SSL ที่ไม่น่าเชื่อถือที่ออกโดยสำนักทะเบียนสาขา Comodo ซึ่งอาจทำให้ผู้โจมตีที่เป็นคนกลางรีไดเร็กการเชื่อมต่อและดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ ได้ ปัญหานี้แก้ไขได้ด้วยการแบล็คลิสต์ใบรับรองที่ไม่น่าเชื่อถือ
หมายเหตุ: สำหรับระบบ Mac OS X ปัญหานี้ได้รับการแก้ไขแล้วด้วยรายการอัปเดตความปลอดภัย 2011-002 สำหรับระบบ Windows Safari จะใช้การจัดเก็บใบรับรองของระบบปฏิบัติการโฮสต์เพื่อพิจารณาว่าใบรับรองเซิร์ฟเวอร์ SSL นั้นน่าเชื่อถือหรือไม่ การใช้การอัปเดตที่อธิบายในบทความฐานความรู้ของ Microsoft หมายเลข 2524375 จะทำให้ Safari ถือว่าใบรับรองนี้ไม่น่าเชื่อถือ บทความนี้มีอยู่ใน http://support.microsoft.com/kb/2524375
QuickLook
มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)
ผลกระทบ: การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ
CVE-ID
CVE-2011-1417 : Charlie Miller และ Dion Blazakis ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint
WebKit
มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)
ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการชุดโหนด การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
CVE-ID
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, และนักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint
WebKit
มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)
ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหา use-after-free ในการจัดการโหนดข้อความ การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
CVE-ID
CVE-2011-1344 : Vupen Security ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint และ Martin Barbella
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม