เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 7.1.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 7.1.2

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันประเด็นเกี่ยวความปลอดภัยจนกว่าจะมีการตรวจสอบโดยละเอียด และมีการปรับปรุงทุกรายการที่จำเป็นหรือมีการวางจำหน่ายแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงต่างๆ

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู รายการอัปเดตความปลอดภัยของ Apple

iOS 7.1.2

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: อัปเดตให้เป็นไปตามนโยบายใบรับรองที่เชื่อถือได้

    คำอธิบาย: นโยบายใบรับรองที่เชื่อถือได้ได้รับการอัปเดต คุณสามารถดูรายชื่อใบรับรองทั้งหมดได้ที่ http://support.apple.com/kb/HT5012?viewlocale=th_TH

  • CoreGraphics

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ XBM ที่ออกมาแบบมาเพื่อเป็นอันตรายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาการจัดสรรสแต็คที่ไม่จำกัดซึ่งมีอยู่ในการจัดการไฟล์ XBM ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1354 : Dima Kovalenko แห่ง codedigging.com

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นอาจทำให้อุปกรณ์รีสตาร์ทโดยไม่คาดหมาย

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ อาร์กิวเมนต์ IOKit API ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบอาร์กิวเมนต์ IOKit API เพิ่มเติม

    CVE-ID

    CVE-2014-1355 : cunzhang จาก Adlab แห่ง Venustech

  • launchd

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการข้อความ IPC ของ launchd ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1356 : Ian Beer แห่ง Google Project Zero

  • launchd

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการข้อความบันทึกของ launchd ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1357: Ian Beer แห่ง Google Project Zero

  • launchd

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีการล้นของจำนวนเต็มใน launchd ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1358 : Ian Beer แห่ง Google Project Zero

  • launchd

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีการล้นของจำนวนเต็มใน launchd ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1359 : Ian Beer แห่ง Google Project Zero

  • การล็อค

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่เข้าครอบครองอุปกรณ์ iOS อาจบายพาสการล็อคไม่ให้เปิดใช้งานได้

    คำอธิบาย: อุปกรณ์ที่ไม่ได้รับการตรวจสอบอย่างสมบูรณ์ระหว่างการเปิดใช้งานอุปกรณ์ซึ่งทำให้ผู้โจมตีสามารถบายพาสการล็อคไม่ให้เปิดใช้งานได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติมถึงข้อมูลยืนยันฝั่งไคลเอนต์ที่ได้รับจากเซิร์ฟเวอร์การเปิดใช้งาน

    CVE-ID

    CVE-2014-1360

  • หน้าจอล็อค

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่เข้าครอบครองอุปกรณ์อาจป้อนรหัสผ่านที่ไม่ถูกต้องเกินจำนวนสูงสุดที่กำหนด

    คำอธิบาย: ในบางกรณี ขีดจำกัดการป้อนรหัสผ่านที่ล้มเหลวอาจไม่ได้นำมาใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัดนี้เพิ่มเติม

    CVE-ID

    CVE-2014-1352 : mblsec

  • หน้าจอล็อค

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่เข้าใช้งานเครื่องของอุปกรณ์ที่ล็อคไว้อาจสามารถเข้าใช้งานแอปพลิเคชั่นที่อยู่ด้านหน้าก่อนการล็อคได้

    คำอธิบาย: ปัญหาการจัดการสถานะในการจัดการสถานะระบบโทรศัพท์ในขณะที่อยู่ในโหมดเครื่องบิน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะในขณะอยู่ในโหมดเครื่องบินให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1353

  • เมล

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ไฟล์แนบ เมล อาจถูกดึงมาจาก iPhone 4 ได้

    คำอธิบาย: ไม่ได้เปิดใช้งานการป้องกันข้อมูลสำหรับไฟล์แนบเมล ทำให้ผู้โจมตีที่เข้าใช้งานเครื่องสามารถอ่านข้อมูลได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปลี่ยนคลาสการเข้ารหัสสำหรับไฟล์แนบเมล

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz แห่ง NESO Security Labs

  • Safari

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าเว็บไซต์ที่ออกแบบมาเพื่อเป็นอันตรายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาช่องโหว่ Use-after-free ในการจัดการ URL ที่ไม่ถูกต้องของ Safari ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1349 : Reno Robert และ Dhanesh Kizhakkinan

  • การตั้งค่า

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานเครื่องอาจสามารถปิดการใช้งาน ค้นหา iPhone ของฉัน ได้โดยไม่ต้องป้อนรหัสผ่านของ iCloud

    คำอธิบาย: ปัญหาการจัดการสถานะในการจัดการสถานะ ค้นหา iPhone ของฉัน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะค้นหา iPhone ของฉันให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1350

  • การถ่ายโอนที่ปลอดภัย

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: อาจมีการเปิดเผยหน่วยความจำที่ยังไม่ได้กำหนดค่าแบบสองไบต์ให้กับผู้โจมตีจากระยะไกล

    คำอธิบาย: มีปัญหาหน่วยความจำที่ยังไม่ได้กำหนดค่าในการจัดการข้อความ DTLS ในการเชื่อมต่อ TLS ปัญหานี้ได้รับการแก้ไขแล้วโดยการยอมรับเฉพาะข้อความ DTLS ในการเชื่อมต่อ DTLS เท่านั้น

    CVE-ID

    CVE-2014-1361 : Thijs Alkemade แห่ง The Adium Project

  • Siri

    มีให้สำหรับ: iPhone 4S และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad (รุ่นที่ 3) และใหม่กว่า

    ผลกระทบ: ผู้ที่เข้าใช้งานเครื่องโทรศัพท์อาจสามารถดูรายชื่อทั้งหมดได้

    คำอธิบาย: หากการขอ Siri อ้างอิงถึงหนึ่งในจำนวนหลายรายชื่อ Siri จะแสดงรายชื่อของตัวเลือกที่เป็นไปได้และตัวเลือก 'เพิ่มเติม...' เพื่อดูรายชื่อทั้งหมด เมื่อใช้ขณะหน้าจอล็อค Siri ไม่ขอรหัสผ่านก่อนจะดูรายชื่อทั้งหมด ปัญหานี้ได้รับการแก้ไขแล้วโดยการกำหนดให้ใช้รหัสผ่าน

    CVE-ID

    CVE-2014-1351 : Sherif Hashim

  • WebKit

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าเว็บไซต์ที่ออกแบบมาเพื่อเป็นอันตรายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-2875 : miaubiz

    CVE-2013-2927 : cloudfuzzer

    CVE-2014-1323 : banty

    CVE-2014-1325 : Apple

    CVE-2014-1326 : Apple

    CVE-2014-1327 : ทีมรักษาความปลอดภัยของ Google Chrome, Apple

    CVE-2014-1329 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1330 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1331 : cloudfuzzer

    CVE-2014-1333 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1334 : Apple

    CVE-2014-1335 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1336 : Apple

    CVE-2014-1337 : Apple

    CVE-2014-1338 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1339 : Atte Kettunen ของ OUSPG

    CVE-2014-1341 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1342 : Apple

    CVE-2014-1343 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1362 : Apple, miaubiz

    CVE-2014-1363 : Apple

    CVE-2014-1364 : Apple

    CVE-2014-1365 : Apple, ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1366 : Apple

    CVE-2014-1367 : Apple

    CVE-2014-1368 : Wushi แห่ง Keen Team (ทีมวิจัยของ Keen Cloud Tech)

    CVE-2014-1382 : Renata Hodovan แห่ง University of Szeged / Samsung Electronics

    CVE-2014-1731 : สมาชิกนิรนามของชุมชนการพัฒนา Blink

  • WebKit

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายสามารถส่งข้อความไปยังเฟรมหรือหน้าต่างที่เชื่อมต่อซึ่งอาจหลีกเลี่ยงการตรวจสอบที่มาของผู้รับ

    คำอธิบาย: มีปัญหาการเข้ารหัสในการจัดการตัวอักษร Unicode ใน URL URL ที่ออกแบบมาเพื่อเป็นอันตรายอาจทำให้การส่งที่มาของ postMessage ไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเข้ารหัสหรือการถอดรหัสให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1346 : Erling Ellingsen แห่ง Facebook

  • WebKit

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่ออกมาแบบมาเพื่อเป็นอันตรายอาจสามารถเลียนแบบชื่อโดเมนในแถบที่อยู่ได้

    คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเข้ารหัส URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1345 : Erling Ellingsen แห่ง Facebook

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: