เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 6.1.3

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 6.1.3

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"

iOS 6.1.3

  • dyld

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสที่ไม่ได้ลงนามได้

    คำอธิบาย: ปัญหาการจัดการสถานะที่อยู่ในการจัดการไฟล์ปฏิบัติการ Mach-O ที่มีเซ็กเมนต์ซ้อนทับกัน ปัญหานี้แก้ไขได้ด้วยการปฏิเสธการโหลดเซ็กเมนต์ปฏิบัติการที่ซ้อนทับกัน

    CVE-ID

    CVE-2013-0977 : evad3rs

  • เคอร์เนล

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถกำหนดที่อยู่ของโครงสร้างต่างๆ ในเคอร์เนลได้

    คำอธิบาย: ปัญหาการเปิดเผยข้อมูลที่อยู่ในตัวจัดการยกเลิกการเรียกค้นข้อมูลเบื้องต้น ARM ปัญหานี้แก้ไขได้ด้วยการแพนิคถ้าตัวจัดการยกเลิกการเรียกค้นข้อมูลเบื้องต้นไม่ถูกเรียกจากบริบทที่ยกเลิก

    CVE-ID

    CVE-2013-0978 : evad3rs

  • การล็อก

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ Arbitrary ได้

    คำอธิบาย: เมื่อกู้คืนจากข้อมูลสำรอง ให้ล็อกการให้อนุญาตที่เปลี่ยนไปบนไฟล์นั้นๆ แม้ว่าเส้นทางไปสู่ไฟล์จะมีลิงก์สัญลักษณ์ก็ตาม ปัญหานี้แก้ไขได้ด้วยการไม่เปลี่ยนการให้อนุญาตบนไฟล์ใดๆ ที่มีซิมลิงก์บนเส้นทาง

    CVE-ID

    CVE-2013-0979 : evad3rs

  • ล็อกรหัสผ่าน

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้เครื่องได้อาจสามารถบายพาสหน้าจอที่ล็อกอยู่ได้

    คำอธิบาย: ปัญหาตรรกะที่มีอยู่ในการจัดการการโทรฉุกเฉินจากหน้าจอที่ล็อกอยู่ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการสถานะการล็อกให้ดีขึ้น

    CVE-ID

    CVE-2013-0980 : Christopher Heffley แห่ง theMedium.ca, videosdebarraquito

  • USB

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัส Arbitrary ในเคอร์เนลได้

    คำอธิบาย: ไดรเวอร์ IOUSBDeviceFamily ที่ใช้พอยต์เตอร์ออปเจ็กต์ไฟล์แบบ Pipe ซึ่งมาจาก Userspace ปัญหานี้แก้ไขได้ด้วยการตรวจสอบความถูกต้องของพอยต์เตอร์ออปเจ็กต์ไฟล์แบบ Pipe เพิ่มเติม

    CVE-ID

    CVE-2013-0981 : evad3rs

  • WebKit

    มีให้สำหรับ: iPhone 3GS และใหม่กว่า, iPod touch (รุ่นที่ 4) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: แคสต์ไม่ถูกต้องที่มีอยู่ในการจัดการไฟล์ SVG ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการตรวจสอบประเภทให้ดีขึ้น

    CVE-ID

    CVE-2013-0912 : Nils และ Jon จาก MWR Labs ที่ทำงานกับ Zero Day Initiative ของ HP TippingPoint

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: