เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.2
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ iOS 10.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
iOS 10.2
การช่วยการเข้าถึง
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้ในบริเวณใกล้เคียงอาจได้ยินเสียงพูดรหัสผ่าน
คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการจัดการกับรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการพูดรหัสผ่าน
CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee
การช่วยการเข้าถึง
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้ อาจสามารถเข้าถึงรูปภาพและรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาหน้าจอล็อคอนุญาตให้เข้าถึงรูปภาพและรายชื่อในอุปกรณ์ที่ล็อคอยู่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2016-7664: Miguel Alvarado จาก iDeviceHelp
บัญชี
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: มีปัญหาที่ทำให้ไม่สามารถรีเซ็ตการตั้งค่าการอนุมัติขณะถอนการติดตั้งแอพได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7651: Ju Zhu และ Lilang Wu จาก Trend Micro
เสียง
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7658: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent
CVE-2016-7659: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent
คลิปบอร์ด
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจเข้าถึงคอนเทนต์ของคลิปบอร์ดได้
คำอธิบาย: คอนเทนต์ของคลิปบอร์ดสามารถเข้าถึงได้ก่อนการปลดล็อคอุปกรณ์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7765: CongRong (@Tr3jer)
CoreFoundation
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลสตริงที่ประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลสตริง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7663: นักวิจัยนิรนาม
CoreGraphics
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
จอแสดงผลภายนอกของ CoreMedia
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสในบริบทของ mediaserver daemon ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7655: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreMedia Playback
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ .mp4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7588: dragonltx จาก Huawei 2012 Laboratories
CoreText
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7595: riusksk (泉哥) จาก Tencent Security Platform Department
CoreText
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการ
คำอธิบาย: ปัญหาในขณะเรนเดอร์ช่วงสัญญาณที่ซ้อนทับกันได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) จาก Digital Unit (dgunit.com)
ภาพดิสก์
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7616: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ค้นหา iPhone ของฉัน
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีอุปกรณ์ที่ปลดล็อคแล้วอาจปิดใช้งาน "ค้นหา iPhone ของฉัน" ได้
คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการข้อมูลการตรวจสอบความถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดเก็บข้อมูลบัญชีให้ดียิ่งขึ้น
CVE-2016-7638: นักวิจัยนิรนาม, Sezer Sakiner
FontParser
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4691: riusksk (泉哥) จาก Tencent Security Platform Department
ไดรเวอร์กราฟิก
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การดูวิดีโอที่สร้างขึ้นโดยมีประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการปฏิเสธการให้บริการในการจัดการวิดีโอ ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-7665: Moataz El Gaml จาก Schlumberger, Daniel Schurter จาก watson.ch และ Marc Ruef จาก scip AG
ICU
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7594: André Bargull
ตัวจับภาพ
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: อุปกรณ์ HID ที่เป็นอันตรายอาจเป็นสาเหตุของการเรียกใช้รหัสโดยพลการ
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการอุปกรณ์อิมเมจ USB ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-4690: Andy Davis จาก NCC Group
ImageIO
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7643: Yangkang (@dnpushme) จาก Qihoo360 Qex Team
IOHIDFamily
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7591: daybreaker จาก Minionz
IOKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7657: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7714: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
JavaScriptCore
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การใช้งานสคริปต์ใน Sandbox ของ JavaScript อาจสามารถเข้าถึงสถานะภายนอก Sandbox ดังกล่าวได้
คำอธิบาย: มีปัญหาการตรวจสอบในการประมวลผล JavaScript ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4695: Mark S. Miller จาก Google
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7606: @cocoahuke, Chen Qin จาก Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเตรียมใช้งานที่ไม่เพียงพอได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำอย่างถูกต้องกลับไปที่ User Space
CVE-2016-7607: Brandon Azad
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7615: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7621: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7637: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7644: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: iPhone 5 ขึ้นไป, iPad รุ่นที่ 4 ขึ้นไป, iPod touch รุ่นที่ 6 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7647: Lufeng Li จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: iPhone 5 ขึ้นไป, iPad รุ่นที่ 4 ขึ้นไป, iPod touch รุ่นที่ 6 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถเข้าถึงที่อยู่ MAC ของอุปกรณ์
คำอธิบาย: ปัญหาในการเข้าถึงได้รับการแก้ไขแล้วโดยการจำกัด Sandbox เพิ่มเติมในแอพพลิเคชั่นของผู้ให้บริการรายอื่น
CVE-2016-7766: Jun Yang(杨君) จาก Tencent's WeiXin Group
libarchive
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถเขียนทับไฟล์ที่มีอยู่แล้วได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2016-7619: นักวิจัยนิรนาม
การตรวจสอบความถูกต้องในระบบ
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: อุปกรณ์อาจไม่ล็อคหน้าจอหลังจากไม่ได้ใช้งานเป็นระยะเวลาหนึ่ง
คำอธิบาย: มีปัญหาตรรกะในการจัดการกับตัวจับเวลาระหว่างที่ไม่ได้ใช้งาน ขณะที่พร้อมท์ Touch ID แสดงอยู่ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการกับตัวจับเวลาระหว่างที่ไม่ได้ใช้งานให้ดียิ่งขึ้น
CVE-2016-7601: นักวิจัยนิรนาม
เมล
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: อีเมลที่เซ็นด้วยใบรับรองที่ถูกเพิกถอนแล้วอาจแสดงเป็นอีเมลที่ถูกต้อง
คำอธิบาย: นโยบาย S/MIME ล้มเหลวในการตรวจสอบว่าใบรับรองถูกต้องหรือไม่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการแจ้งเตือนผู้ใช้หากอีเมลมีการเซ็นด้วยใบรับรองที่ถูกเพิกถอนแล้ว
CVE-2016-4689: นักวิจัยนิรนาม
โปรแกรมเล่นสื่อ
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจดูรูปภาพหรือรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการการเลือกสื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7653
การจัดการพลังงาน
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7661: Ian Beer จาก Google Project Zero
โปรไฟล์
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การเปิดใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการโปรไฟล์ใบรับรอง ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
ตัวอ่าน Safari
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2016-7650: Erling Ellingsen
ความปลอดภัย
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส 3DES ได้
คำอธิบาย: 3DES ถูกลบออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว
CVE-2016-4693: Gaëtan Leurent และ Karthikeyan Bhargavan จาก INRIA Paris
ความปลอดภัย
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการของ URL ตัวตอบสนองของ OCSP ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะการเพิกถอน OCSP หลังจากตรวจสอบ CA และจำกัดจำนวนคำขอ OCSP ต่อใบรับรองหนึ่งใบแล้ว
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
ความปลอดภัย
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ใบรับรองอาจได้รับการประเมินว่าเชื่อถือได้โดยไม่คาดคิด
คำอธิบาย: มีปัญหาการประเมินใบรับรองในการตรวจสอบใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบใบรับรองเพิ่มเติม
CVE-2016-7662: Apple
SpringBoard
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: บุคคลที่สามารถเข้าถึงอุปกรณ์ iOS อาจปลดล็อคอุปกรณ์ได้
คำอธิบาย: ในบางกรณี ปัญหาในการป้องกันอาจเกิดขึ้นขณะที่ระบบจัดการกับการป้อนรหัสผ่านเมื่อรีเซ็ตรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4781: นักวิจัยนิรนาม
SpringBoard
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: บุคคลที่สามารถเข้าถึงอุปกรณ์ iOS อาจทำให้อุปกรณ์ปลดล็อคอยู่เสมอ
คำอธิบาย: มีปัญหาการล้างข้อมูลในการจัดการกับ Handoff ด้วย Siri ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7597: นักวิจัยนิรนาม
syslog
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7660: Ian Beer จาก Google Project Zero
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4743: Alan Cutter
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7586: Boris Zbarsky
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-7611: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-7639: Tongbo Luo จาก Palo Alto Networks
CVE-2016-7640: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo จาก Palo Alto Networks
CVE-2016-7645: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย
คำอธิบาย: มีปัญหาในการจัดการพร้อมท์ JavaScript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7592: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7598: Samuel Groß
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้
คำอธิบาย: มีปัญหาในการจัดการการเปลี่ยนเส้นทางของ HTTP ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบแบบข้ามต้นทางให้ดียิ่งขึ้น
CVE-2016-7599: Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co., Ltd.
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย
คำอธิบาย: มีปัญหาในการจัดการ Blob URL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-2016-7623: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การเข้าหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7632: Jeonghoon Shin
WebKit
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น
คำอธิบาย: มีปัญหาในการแสดงเอกสารใน Safari ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-7762: YongShao (Zhiyong Feng จาก JDSEC 1aq.com)
WebSheet
มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาการหลบหนี Sandbox ได้รับการแก้ไขแล้วผ่านการจำกัดเพิ่มเติม
CVE-2016-7630: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab) Tencent ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม