เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 9.3.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 9.3.2
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ
หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple
iOS 9.3.2
การช่วยการเข้าถึง
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1790: Rapelly Akhil
CFNetwork Proxies
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: มีข้อมูลรั่วไหลในการจัดการคำขอ HTTP และ HTTPS ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1801: Alex Chapman และ Paul Stone จาก Context Information Security
CommonCrypto
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: มีปัญหาเกิดขึ้นในการจัดการค่าการส่งคืนใน CCCrypt ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการความยาวคีย์ให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1802: Klaus Rodewig
CoreCapture
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1803: Ian Beer จาก Google Project Zero ซึ่งเป็น daybreaker ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ภาพดิสก์
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: สภาวะการแย่งชิงได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1807: Ian Beer จาก Google Project Zero
ภาพดิสก์
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro
ImageIO
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1818: Juwei Lin จาก TrendMicro, sweetchip@GRAYHASH ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1819: Ian Beer จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 13 ธันวาคม 2016
IOAcceleratorFamily
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1814: Juwei Lin จาก TrendMicro
IOAcceleratorFamily
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1813: Ian Beer จาก Google Project Zero
IOHIDFamily
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1823: Ian Beer จาก Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent
CVE-2016-4650 : Peter Pi จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ HP
เคอร์เนล
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-1836: Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-1837: Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1841: Sebastian Apelt
MapKit
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: ลิงก์ที่แชร์ถูกส่งด้วยโปรโตคอล HTTP มากกว่า HTTPS ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งาน HTTPS สำหรับลิงก์ที่แชร์
CVE-ID
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1847: Tongbo Luo และ Bo Qu จาก Palo Alto Networks
Safari
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้ใช้อาจไม่สามารถลบประวัติการเรียกดูได้ทั้งหมด
คำอธิบาย: "ล้างประวัติและข้อมูลเว็บไซต์" ไม่ล้างประวัติ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1849: นักวิจัยที่ไม่ระบุชื่อ
Siri
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้ อาจสามารถใช้ Siri เพื่อเข้าถึงรายชื่อและรูปภาพจากหน้าจอล็อคได้
คำอธิบาย: มีปัญหาการจัดการสถานะเมื่อเข้าถึงผลลัพธ์ของ Siri บนหน้าจอล็อค ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานตัวตรวจจับข้อมูลในผลลัพธ์ของ Twitter เมื่ออุปกรณ์ถูกล็อค
CVE-ID
CVE-2016-1852: videosdebarraquito
WebKit
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจเปิดเผยข้อมูลจากเว็บไซต์อื่น
คำอธิบาย: ปัญหาการติดตาม Taint ที่มีไม่เพียงพอที่เกิดขึ้นในการแยกวิเคราะห์ภาพ svg ได้รับการแก้ไขแล้วผ่านการปรับปรุงการติดตาม Taint ให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1858: นักวิจัยที่ไม่ระบุชื่อ
WebKit
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1854: บุคคลที่ไม่ระบุชื่อทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1855: Tongbo Luo และ Bo Qu จาก Palo Alto Networks
CVE-2016-1856: lokihardt ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D และ Liang Chen, Zhen Feng, wushi จาก KeenLab, Tencent ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit Canvas
มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1859: Liang Chen, wushi จาก KeenLab, Tencent ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม