เกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7 สำหรับ iPhone

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของรายการอัปเดตซอฟต์แวร์ iOS 4.2.7 ซึ่งสามารถดาวน์โหลดและติดตั้งโดยใช้ iTunes

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตซอฟต์แวร์ iOS 4.2.7 สำหรับ iPhone

• Certificate Trust Policy

  มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)

  ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

  คำอธิบาย: มีหลายใบรับรอง SSL ที่ไม่น่าเชื่อถือที่ออกโดยสำนักทะเบียนสาขา Comodo ซึ่งอาจทำให้ผู้โจมตีที่เป็นคนกลางรีไดเร็กการเชื่อมต่อและดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ ได้ ปัญหานี้แก้ไขได้ด้วยการแบล็คลิสต์ใบรับรองที่ไม่น่าเชื่อถือ

  หมายเหตุ: สำหรับระบบ Mac OS X ปัญหานี้ได้รับการแก้ไขแล้วด้วยรายการอัปเดตความปลอดภัย 2011-002 สำหรับระบบ Windows Safari จะใช้การจัดเก็บใบรับรองของระบบปฏิบัติการโฮสต์เพื่อพิจารณาว่าใบรับรองเซิร์ฟเวอร์ SSL นั้นน่าเชื่อถือหรือไม่ การใช้การอัปเดตที่อธิบายในบทความฐานความรู้ของ Microsoft หมายเลข 2524375 จะทำให้ Safari ถือว่าใบรับรองนี้ไม่น่าเชื่อถือ บทความนี้มีอยู่ใน http://support.microsoft.com/kb/2524375

• QuickLook

  มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)

  ผลกระทบ: การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

  CVE-ID

  CVE-2011-1417 : Charlie Miller และ Dion Blazakis ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

• WebKit

  มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)

  ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการชุดโหนด การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

  CVE-ID

  CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, และนักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

• WebKit

  มีให้สำหรับ: iOS 4.2.5 ถึง 4.2.6 สำหรับ iPhone 4 (CDMA)

  ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: มีปัญหา use-after-free ในการจัดการโหนดข้อความ การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

  CVE-ID

  CVE-2011-1344 : Vupen Security ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint และ Martin Barbella