เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iOS 9
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของของ iOS 9
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ
หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple
iOS 9
Apple Pay
มีให้สำหรับ: iPhone 6 และ iPhone 6 Plus
ผลกระทบ: การ์ดบางอย่างอาจอนุญาตให้เทอร์มินัลดึงข้อมูลการทำธุรกรรมแบบจำกัดล่าสุดเมื่อทำการชำระเงิน
คำอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกำหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก ปัญหานี้ไม่ได้ส่งผลกระทบต่ออุปกรณ์ iPad
CVE-ID
CVE-2015-5916
AppleKeyStore
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถรีเซ็ตจำนวนครั้งที่พยายามป้อนรหัสผ่านที่ล้มเหลวด้วยข้อมูลสำรอง iOS
คำอธิบาย: มีปัญหาในการรีเซ็ตจำนวนครั้งที่พยายามป้อนรหัสผ่านที่ล้มเหลวด้วยข้อมูลสำรองของอุปกรณ์ iOS ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะความล้มเหลวของรหัสผ่านให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5850: นักวิจัยที่ไม่ประสงค์ออกนาม
Application Store
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การคลิกลิงก์ ITMS ที่เป็นอันตรายอาจทำให้เกิดปฏิเสธการให้บริการในแอพพลิเคชั่นที่องค์กรลงนาม
คำอธิบาย: มีปัญหาในการติดตั้งผ่านลิงก์ ITMS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการติดตั้งเพิ่มเติม
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.
เสียง
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5862: YoungJin Yoon จาก Information Security Lab (Adv.: Prof. Taekyoung Kwon), Yonsei University, กรุงโซล ประเทศเกาหลี
นโยบายความน่าเชื่อถือของใบรับรอง
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: อัพเดทให้เป็นนโยบายความน่าเชื่อถือของใบรับรอง
คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัปเดต คุณสามารถดูรายชื่อใบรับรองทั้งหมดได้ที่https://support.apple.com/th-th/HT204132
CFNetwork
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: URL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถหลีกเลี่ยง HTTP Strict Transport Security (HSTS) และทำให้ข้อมูลสำคัญรั่วไหลได้
คำอธิบาย: มีช่องโหว่ในการแยกวิเคราะห์ URL ในการจัดการ HSTS ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5858: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดเลือกชมเว็บส่วนตัวของ Safari ได้
คำอธิบาย: มีปัญหาในการจัดการสถานะ HSTS ในโหมดเลือกชมเว็บส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5860: Sam Greenhalgh จาก RadicalResearch Ltd
CFNetwork
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอพของ Apple ได้
คำอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสผ่านของผู้ใช้
CVE-ID
CVE-2015-5898: Andreas Kurtz จาก NESO Security Labs
คุ้กกี้ CFNetwork
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้
คำอธิบาย: มีปัญหาคุกกี้ระหว่างโดเมนในการจัดการโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้
CVE-ID
CVE-2015-5885: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
คุ้กกี้ CFNetwork
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถสร้างคุกกี้ที่ไม่พึงประสงค์สำหรับเว็บไซต์
คำอธิบาย: WebKit อาจจะยอมรับการตั้งค่าคุกกี้จำนวนมากใน document.cookie API ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-3801: Erling Ellingsen จาก Facebook
CFNetwork FTPProtocol
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: เซิร์ฟเวอร์ FTP ที่เป็นอันตรายอาจสามารถทำให้ไคลเอนต์ดำเนินการสำรวจบนโฮสต์อื่นๆ
คำอธิบาย: มีปัญหาในการจัดการแพ็คเก็ต FTP เมื่อใช้คำสั่ง PASV ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลบนเครือข่ายได้
คำอธิบาย: มีปัญหาในการจัดการการป้อนรายการโหลดล่วงหน้าของ HSTS ในโหมดเลือกชมเว็บส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5859: Rosario Giustolisi จาก University of Luxembourg
CFNetwork Proxies
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเชื่อมต่อกับพร็อกซีเว็บที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสำหรับเว็บไซต์
คำอธิบาย: มีปัญหาในการจัดการการตอบสนองการเชื่อมต่อพร็อกซี ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ
CVE-ID
CVE-2015-5841: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork SSL
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายสิทธิพิเศษอาจดักจับการเชื่อมต่อ SSL/TLS ได้
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองใน NSURL เมื่อมีการเปลี่ยนแปลงใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5824: Timothy J. Wood จาก The Omni Group
CFNetwork SSL
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้
คำอธิบาย: มีการคุกคามที่รู้จักจู่โจมความเชื่อมั่นของ RC4 ผู้โจมตีสามารถบังคับใช้ RC4 โดยการปิดกั้น TLS 1.0 และการเชื่อมต่อที่สูงขึ้นจนกระทั่ง CFNetwork พยายามใช้ SSL 3.0 ซึ่งอนุญาตเฉพาะ RC4 แม้ว่าเซิร์ฟเวอร์ต้องการการเข้ารหัสที่ดีขึ้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบทางเลือกสำรองสำหรับ SSL 3.0
CoreAnimation
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงเฟรมบัฟเฟอร์บนหน้าจอในขณะที่อยู่ในเบื้องหลัง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการควบคุมการเข้าถึงบน IOSurfaces ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li จาก School of Information Systems Singapore Management University, Feng Bao และ Jianying Zhou จาก Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถตรวจหากุญแจส่วนตัวได้
คำอธิบาย: ผู้โจมตีอาจสามารถตรวจหากุญแจส่วนตัว RSA ได้โดยการสังเกตความพยายามในการลงชื่อเข้าหรือการถอดรหัสหลายครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น
CoreText
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
โปรแกรมตัวตรวจจับข้อมูล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ข้อความ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5829: M1x7e1 จาก Safeye Team (www.safeye.org)
Dev Tools
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5876: beist จาก grayhash
ภาพดิสก์
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการเซ็นชื่อรหัสได้
คำอธิบาย: มีปัญหาในการตรวจสอบลายเซ็นรหัสของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่น Game Center ที่เป็นอันตรายอาจสามารถเข้าถึงที่อยู่อีเมลของผู้เล่นได้
คำอธิบาย: มีปัญหาใน Game Center ในการจัดการอีเมลของผู้เล่น ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ช่องโหว่จำนวนมากใน ICU
คำอธิบาย: มีช่องโหว่จำนวนมากใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท ICU ให้เป็นเวอร์ชั่น 55.1
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922: Mark Brand จาก Google Project Zero
IOAcceleratorFamily
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5834: Cererdlong จาก Alibaba Mobile Security Team
IOAcceleratorFamily
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5867: moony li จาก Trend Micro
IOKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการเตรียมใช้งานหน่วยความจำในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5863: Ilja van Sprundel จาก IOActive
iTunes Store
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ข้อมูลประจำตัวของ Apple ID อาจยังคงมีอยู่ในพวงกุญแจหลังจากที่ลงชื่อออก
คำอธิบาย: มีปัญหาในการลบพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการล้างข้อมูลบัญชีให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5832: Kasif Dekel จาก Check Point Software Technologies
JavaScriptCore
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller จาก Google
CVE-2015-5823: Apple
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5868: Cererdlong จาก Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard จาก m00nbsd
CVE-2015-5903: CESG
อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2016
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะอาจควบคุมค่าของคุกกี้สแต็ค
คำอธิบาย: มีจุดอ่อนมากมายในการสร้างคุกกี้สแต็คของพื้นที่ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็คให้ดียิ่งขึ้น
CVE-ID
CVE-2013-3951: Stefan Esser
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: กระบวนการในระบบสามารถปรับเปลี่ยนกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์
คำอธิบาย: มีปัญหาเมื่อกระบวนการรากที่ใช้ processor_set_tasks API ได้รับอนุญาตให้เรียกพอร์ตงานของกระบวนการอื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม
CVE-ID
CVE-2015-5882: Pedro Vilaça ซึ่งทำงานจากการวิจัยเดิมโดย Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถเริ่มการโจมตีการปฏิเสธการให้บริการในการเชื่อมต่อ TCP ที่มีการกำหนดเป้าหมายโดยไม่ทราบหมายเลขลำดับที่ถูกต้อง
คำอธิบาย: มีปัญหาในการตรวจสอบ xnu ของส่วนหัวของแพ็คเก็ต TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบส่วนหัวของแพ็คเก็ต TCP ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5879: Jonathan Looney
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในส่วน LAN ในระบบอาจปิดใช้งานการกำหนดเส้นทาง IPv6
คำอธิบาย: มีปัญหาการตรวจสอบที่ไม่เพียงพอในการจัดการการเผยแพร่เราเตอร์ IPv6 ที่อนุญาตให้ผู้โจมตีกำหนดขีดจำกัด hop เป็นค่าตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน XNU ที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานโครงสร้างหน่วยความจำเคอร์เนลให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5842: beist จาก grayhash
เคอร์เนล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: มีปัญหาในการต่อเชื่อมไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม
CVE-ID
CVE-2015-5748: Maxime Villard จาก m00nbsd
libc
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในฟังก์ชั่น fflush ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2014-8611: Adrian Chadd และ Alfred Perlstein จาก Norse Corporation
libpthread
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5899: Lufeng Li จาก Qihoo 360 Vulcan Team
เมล
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีสามารถส่งอีเมลที่แสดงว่ามาจากรายชื่อในสมุดที่อยู่ของผู้รับ
คำอธิบาย: มีปัญหาในการจัดการที่อยู่ของผู้ส่ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5857: Emre Saglam จาก salesforce.com
การเชื่อมต่อ Multipeer
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถสังเกตข้อมูล Multipeer ที่ไม่มีการป้องกัน
คำอธิบาย: มีปัญหาในการจัดการ Convenience Initializer ที่การเข้ารหัสอาจถูกดาวน์เกรดอย่างจริงจังเป็นเซสชั่นที่ไม่ได้เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปลี่ยน Convenience Initializer ให้ต้องใช้การเข้ารหัส
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) จาก Data Theorem
NetworkExtension
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานในเคอร์เนลที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำ
CVE-ID
CVE-2015-5831: Maxime Villard จาก m00nbsd
OpenSSL
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL
คำอธิบาย: มีช่องโหว่จำนวนมากใน OpenSSL ก่อนเวอร์ชั่น 0.9.8zg ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8zg
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นระดับองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่แอพพลิเคชั่นจะได้รับความเชื่อถือ
คำอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอพให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.
removefile
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: มีข้อบกพร่องล้นเกินในรูทีนการหาร checkint ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงรูทีนการหารให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5840: นักวิจัยนิรนาม
Safari
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านที่คั่นหน้า Safari บนอุปกรณ์ iOS ที่ถูกล็อคได้โดยไม่ต้องใช้รหัส
คำอธิบาย: ข้อมูลที่คั่นหน้า Safari ถูกเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลที่คั่นหน้า Safari ด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสของผู้ใช้
CVE-ID
CVE-2015-7118 : Jonathan Zdziarski
อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2016
Safari
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: ปัญหาอาจอนุญาตให้เว็บไซต์แสดงเนื้อหาที่มี URL จากเว็บไซต์อื่น ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5904: Erling Ellingsen จาก Facebook, Łukasz Pilorz
Safari
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: การนำทางไปยังเว็บไซต์ที่เป็นอันตรายด้วยตัวเปิดหน้าต่างที่มีรูปแบบไม่ถูกต้อง อาจอนุญาตให้มีการแสดงผล URL ตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการตัวเปิดหน้าต่างให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5905: Keita Haga จาก keitahaga.com
Safari
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจถูกเว็บไซต์ที่มุ่งร้ายติดตามรอยโดยอาศัยใบรับรองฝั่งไคลเอนต์
คำอธิบาย: มีปัญหาในการจับคู่ใบรับรองฝั่งไคลเอนต์ของ Safari สำหรับการพิสูจน์ตัวตนด้วย SSL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจับคู่ใบรับรองไคลเอนต์ที่ถูกต้องให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1129: Stefan Kraus แห่ง fluid Operations AG, Sylvain Munaut แห่ง Whatever s.a.
Safari
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: ความไม่สอดคล้องกันหลายจุดในอินเทอร์เฟซผู้ใช้อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายแสดง URL ได้ตามอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) จาก Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski ผ่าน Secunia, Masato Kinugawa
การเลือกดูอย่างปลอดภัยใน Safari
iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป
ผลกระทบ: การนำทางไปยังที่อยู่ IP ของเว็บไซต์ที่เป็นอันตรายที่รู้จักกันอาจไม่สั่งการการเตือนด้านการรักษาความปลอดภัย
คำอธิบาย: คุณสมบัติการเลือกดูอย่างปลอดภัยใน Safari ไม่ได้เตือนผู้ใช้เมื่อเข้าชมเว็บไซต์ที่เป็นอันตรายที่รู้จักกันตามที่อยู่ IP ของเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจจับเว็บไซต์ที่เป็นอันตรายให้ดียิ่งขึ้น
Rahul M จาก TagsDock
ความปลอดภัย
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถสกัดกั้นการสื่อสารระหว่างแอพได้
คำอธิบาย: มีปัญหาที่อนุญาตให้แอพที่เป็นอันตรายสกัดกั้นการสื่อสารแบบแผน URL ระหว่างแอพ ปัญหานี้ได้รับการบรรเทาโดยการแสดงกล่องโต้ตอบ เมื่อแบบแผน URL ถูกนำมาใช้เป็นครั้งแรก
CVE-ID
CVE-2015-5835: Teun van Run จาก FiftyTwoDegreesNorth B.V.; XiaoFeng Wang จาก Indiana University, Luyi Xing จาก Indiana University, Tongxin Li จาก Peking University, Xiaolong Bai จาก Tsinghua University
Siri
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจสามารถใช้ Siri เพื่ออ่านการแจ้งเตือนของเนื้อหาที่มีการตั้งค่าไม่ให้แสดงที่หน้าจอล็อค
คำอธิบาย: ข้อจำกัดฝั่งไคลเอนต์ไม่ได้ถูกตรวจสอบโดยเซิร์ฟเวอร์เมื่อมีการร้องขอ Siri ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบข้อจำกัดให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้ สามารถตอบกลับข้อความเสียงจากหน้าจอล็อคเมื่อการแสดงตัวอย่างข้อความจากหน้าจอล็อคถูกปิดใช้งาน
คำอธิบาย: ปัญหาที่หน้าจอล็อคอนุญาตให้ผู้ใช้ตอบกลับข้อความเสียงเมื่อการแสดงตัวอย่างข้อความจากหน้าจอล็อคถูกปิดใช้งาน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5861: Daniel Miedema จาก Meridian Apps
SpringBoard
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถปลอมหน้าต่างโต้ตอบของแอพพลิเคชั่นอื่น
คำอธิบาย: มีปัญหาในการเข้าถึงด้วยการเรียก API ที่มีสิทธิ์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ช่องโหว่จำนวนมากใน SQLite v3.8.5
คำอธิบาย: มีช่องโหว่จำนวนมากใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท SQLite ให้เป็นเวอร์ชั่น 3.8.10.2
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขผ่านการจัดการหน่วยความจำที่ดีขึ้น
CVE-ID
CVE-2015-5522: Fernando Muñoz จาก NULLGroup.com
CVE-2015-5523: Fernando Muñoz จาก NULLGroup.com
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การอ้างอิงออบเจ็กต์อาจรั่วไหลระหว่างต้นทางที่ถูกกั้นแยกในเหตุการณ์ที่กำหนดเอง เหตุการณ์ข้อความ และเหตุการณ์สถานะการปรากฏ
คำอธิบาย: ปัญหาการรั่วไหลของออบเจ็กต์ทำลายขอบเขตการกั้นแยกระหว่างต้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการกั้นแยกระหว่างต้นทางให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5827: Gildas
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดโทรออกโดยไม่ได้ตั้งใจ
คำอธิบาย: มีปัญหาในการจัดการ URL ของ tel://, facetime:// และ facetime-audio:// ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: QuickType อาจเรียนรู้อักขระตัวสุดท้ายของรหัสผ่านในแบบฟอร์มเว็บที่มีการกรอกข้อมูล
คำอธิบาย: มีปัญหาในการจัดการของ WebKit ในบริบทการป้อนรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการบริบทการป้อนข้อมูลให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5906: Louis Romero จาก Google Inc.
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนเส้นทางไปยังโดเมนที่เป็นอันตราย
คำอธิบาย: มีปัญหาในการจัดการแคชทรัพยากรในเว็บไซต์ที่มีใบรับรองที่ไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปฏิเสธแคชแอพพลิเคชั่นของโดเมนที่มีใบรับรองที่ไม่ถูกต้อง
CVE-ID
CVE-2015-5907: Yaoqi Jia จาก National University of Singapore (NUS)
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: Safari อนุญาตให้สไตล์ชีทข้ามต้นทางได้รับการโหลดด้วย MIME ที่ไม่ใช่ประเภท CSS ซึ่งสามารถนำมาใช้สำหรับการถอนข้อมูลข้ามต้นทางได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดประเภท MIME สำหรับสไตล์ชีทข้ามต้นทาง
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: Performance API อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหล
คำอธิบาย: Performance API ของ WebKit อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหลได้โดยการวัดเวลา ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดความละเอียดของเวลา
CVE-ID
CVE-2015-5825: Yossi Oren et al. จาก Network Security Lab แห่ง Columbia University
WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหากับส่วนหัวการจัดการเนื้อหาที่มีไฟล์แนบประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่อนุญาตฟังก์ชั่นบางอย่างสำหรับหน้าไฟล์แนบประเภท
CVE-ID
CVE-2015-5921: Mickey Shkatov จาก Intel(r) Advanced Threat Research Team, Daoyuan Wu จาก Singapore Management University, Rocky K. C. Chang จาก Hong Kong Polytechnic University, Łukasz Pilorz, superhei จาก www.knownsec.com
WebKit Canvas
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจเปิดเผยข้อมูลภาพจากเว็บไซต์อื่น
คำอธิบาย: มีปัญหาการข้ามต้นทางกับภาพองค์ประกอบ "canvas" ใน WebKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5788: Apple
การโหลดหน้า WebKit
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: WebSockets อาจหลีกเลี่ยงการบังคับใช้นโยบายเนื้อหาแบบผสม
คำอธิบาย: ปัญหาการบังคับใช้นโยบายที่ไม่เพียงพอที่อนุญาตให้ WebSockets โหลดเนื้อหาแบบผสมได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการขยายการบังคับใช้นโยบายเนื้อหาแบบผสมกับ WebSockets
Kevin G. Jones จาก Higher Logic
FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม