เกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 7.1

เอกสารนี้จะอธิบายเกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 7.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพทช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู "การอัพเดทความปลอดภัยของ Apple"

iOS 7.1

  • ข้อมูลสำรอง

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ข้อมูลสำรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปลี่ยนระบบไฟล์ได้

    คำอธิบาย: ลิงก์สัญลักษณ์ในข้อมูลสำรองจะถูกจัดเก็บไว้ ทำให้การดำเนินการต่อมาในระหว่างการกู้คืนสามารถเขียนไปยังส่วนที่เหลือของระบบไฟล์ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบลิงก์สัญลักษณ์ระหว่างขั้นตอนการกู้คืน

    CVE-ID

    CVE-2013-5133 : evad3rs

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ใบรับรองรากถูกอัพเดท

    คำอธิบาย: ใบรับรองจำนวนมากถูกเพิ่มหรือลบออกจากรายชื่อของรากระบบ

  • โปรไฟล์การกำหนดค่า

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ไม่ยอมรับวันที่หมดอายุของโปรไฟล์

    คำอธิบาย: ประเมินวันที่หมดอายุของโปรไฟล์การกำหนดค่าของโทรศัพท์มือถือไม่ถูกต้อง ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการโปรไฟล์การกำหนดค่าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาการยืนยันที่สามารถเข้าถึงได้ในการจัดการการโทรแบบ IOKit API ของ CoreCapture ปัญหานี้แก้ไขได้ด้วยการตรวจสอบอินพุตจาก IOKit เพิ่มเติม

    CVE-ID

    CVE-2014-1271 : Filippo Bigarella

  • การรายงานชนกัน

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถเปลี่ยนการให้อนุญาตบนไฟล์ Arbitrary ได้

    คำอธิบาย: CrashHouseKeeping ตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนการอนุญาตบนไฟล์ ปัญหานี้แก้ไขได้โดยการไม่ตามลิงก์สัญลักษณ์เมื่อทำการเปลี่ยนแปลงการอนุญาตบนไฟล์

    CVE-ID

    CVE-2014-1272 : evad3rs

  • dyld

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: อาจมีการบายพาสข้อกำหนดในการเซ็นชื่อรหัส

    คำอธิบาย: คำแนะนำการเปลี่ยนตำแหน่งข้อความในคลังไดนามิกอาจถูกโหลดโดย dyld โดยไม่มีการตรวจสอบลายเซ็นรหัส ปัญหานี้แก้ไขได้ด้วยการเพิกเฉยคำแนะนำในการเปลี่ยนตำแหน่งข้อความ

    CVE-ID

    CVE-2014-1273 : evad3rs

  • FaceTime

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานเครื่องอาจสามารถเข้าถึงรายชื่อ FaceTime ได้จากหน้าจอล็อค

    คำอธิบาย: รายชื่อ FaceTime บนอุปกรณ์ที่ล็อคอยู่อาจถูกเปิดเผยโดยการโทรผ่าน FaceTime ล้มเหลวจากหน้าจอล็อค ปัญหานี้แก้ไขได้ด้วยการจัดการการโทรผ่าน FaceTime ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1274

  • ImageIO

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการภาพ JPEG2000 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1275 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • ImageIO

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการภาพ TIFF ของ libtiff ปัญหานี้แก้ไขได้ด้วยการตรวจสอบภาพ TIFF เพิ่มเติม

    CVE-ID

    CVE-2012-2088

  • ImageIO

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของหน่วยความจำ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดเป็นค่าเริ่มต้นในการจัดการมาร์คเกอร์ JPEG ของ libjpeg ส่งผลให้เกิดการเปิดเผยข้อมูลของหน่วยความจำ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบไฟล์ JPEG เพิ่มเติม

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • กิจกรรม IOKit HID

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเฝ้าดูการกระทำของผู้ใช้ในแอพอื่นๆ

    คำอธิบาย: อินเทอร์เฟซในโครงสร้าง IOKit อนุญาตให้แอพที่ประสงค์ร้ายสามารถเฝ้าดูการกระทำของผู้ใช้ในแอพอื่น ปัญหานี้แก้ไขได้ด้วยการปรับปรุงนโยบายการควบคุมการเข้าถึงในโครงสร้างให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1276 : Min Zheng, Hui Xue และ Dr. Tao (Lenx) Wei แห่ง FireEye

  • iTunes Store

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีแบบ Man-in-the-middle อาจล่อลวงให้ผู้ใช้เข้าสู่การดาวน์โหลดแอพที่ประสงค์ร้ายผ่านการดาวน์โหลดแอพขององค์กรได้

    คำอธิบาย: ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายอาจสร้างการสื่อสารของเครือข่ายลวงเพื่อหลอกให้ผู้ใช้เข้าสู่การดาวน์โหลดแอพที่ประสงค์ร้าย ปัญหานี้แก้ไขได้ด้วยการใช้ SSL และการแจ้งผู้ใช้ในระหว่างการเปลี่ยนเส้นทางของ URL

    CVE-ID

    CVE-2013-3948 : Stefan Esser

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในฟังก์ชัน ARM ptmx_get_ioctl ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1278 : evad3rs

  • Office Viewer

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเปิดเอกสาร Microsoft Word ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา Double Free ในการจัดการเอกสาร Microsoft Word ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการหน่วยความจำ

    CVE-ID

    CVE-2014-1252 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • แบ็คเอนด์รูปภาพ

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภาพที่ถูกลบอาจยังปรากฏในแอพรูปภาพข้างใต้ภาพที่โปร่งใส

    คำอธิบาย: การลบภาพจากคลังสินทรัพย์ไม่ได้ลบเวอร์ชั่นที่แคชของภาพ ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1281 : Walter Hoelblinger แห่ง Hoelblinger.com, Morgan Adams, Tom Pennington

  • โปรไฟล์

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: โปรไฟล์การกำหนดค่าอาจถูกซ่อนไว้จากผู้ใช้

    คำอธิบาย: โปรไฟล์การกำหนดค่าที่มีชื่อยาวๆ อาจถูกโหลดไว้บนอุปกรณ์แต่ไม่แสดงใน UI โปรไฟล์ ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการชื่อโปรไฟล์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1282 : Assaf Hefetz, Yair Amit และ Adi Sharabani แห่ง Skycure

  • Safari

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ข้อมูลประจำตัวของผู้ใช้อาจถูกเปิดเผยต่อไซต์ที่ไม่คาดคิดผ่านการกรอกข้อมูลอัตโนมัติ

    คำอธิบาย: Safari อาจกรอกข้อมูลชื่อผู้ใช้และรหัสผ่านอัตโนมัติเข้าไปในซับเฟรมจากโดเมนอื่นที่ไม่ใช่เมนเฟรม ปัญหานี้แก้ไขได้ด้วยการติดตามจุดเริ่มต้นที่ดีขึ้น

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren แห่ง Klarna AB

  • การตั้งค่า - บัญชี

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานเครื่องอาจสามารถปิดการใช้งาน ค้นหา iPhone ของฉัน ได้โดยไม่ต้องป้อนรหัสผ่านของ iCloud

    คำอธิบาย: ปัญหาการจัดการสถานะในการจัดการสถานะ ค้นหา iPhone ของฉัน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะค้นหา iPhone ของฉันให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-2019

  • Springboard

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานเครื่องอาจสามารถดูหน้าจอโฮมของอุปกรณ์ได้แม้ว่าจะไม่ได้เปิดใช้งานเครื่องก็ตาม

    คำอธิบาย: การที่แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดระหว่างการเปิดใช้งานอาจทำให้โทรศัพท์แสดงหน้าจอโฮม ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการข้อผิดพลาดระหว่างการเปิดใช้งานให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1285 : Roboboi99

  • หน้าจอล็อค SpringBoard

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดหน้าจอล็อคเพื่อไม่ให้ตอบสนอง

    คำอธิบาย: มีปัญหาการจัดการสถานะในหน้าจอล็อค ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1286 : Bogdan Alecu แห่ง M-sec.net

  • โครงประกอบ TelephonyUI

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: หน้าเว็บอาจกระตุ้นให้เกิดการโทรผ่านเสียง FaceTime โดยที่ผู้ใช้ไม่ได้ทำอะไร

    คำอธิบาย: Safari ไม่ได้ถามผู้ใช้ก่อนจะเปิด facetime-audio:// URL ปัญหานี้แก้ไขได้ด้วยการแจ้งยืนยันเพิ่มเติม

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • โฮสต์ USB

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่เข้าใช้งานอุปกรณ์ได้อาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจในโหมดเคอร์เนล

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการข้อความ USB ปัญหานี้แก้ไขได้ด้วยการตรวจสอบข้อความ USB เพิ่มเติม

    CVE-ID

    CVE-2014-1287 : Andy Davis แห่ง NCC Group

  • ไดรเวอร์วิดีโอ

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเล่นวิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้อุปกรณ์ไม่ตอบสนอง

    คำอธิบาย: มีปัญหา Null Dereference ในการจัดการไฟล์ที่เข้ารหัส MPEG-4 ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1280 : rg0rd

  • WebKit

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-2909 : Atte Kettunen จาก OUSPG

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2013-5196 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2013-5197 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2013-5198 : Apple

    CVE-2013-5199 : Apple

    CVE-2013-5225 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2013-5228 : Keen Team (@K33nTeam) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269 : Apple

    CVE-2014-1270 : Apple

    CVE-2014-1289 : Apple

    CVE-2014-1290: ant4g0nist (SegFault) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP, ทีมรักษาความปลอดภัยของ Google Chrome, Lee Wang Hao ที่ทำงานร่วมกับ S.P.T. Krishnan จาก Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1292 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1293 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1294 : ทีมรักษาความปลอดภัยของ Google Chrome

FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: