เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 16.5 และ iPadOS 16.5

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ iOS 16.5 และ iPadOS 16.5

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 16.5 และ iPadOS 16.5

เปิดตัวเมื่อวันที่ 18 พฤษภาคม 2023

Accessibility

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: ผู้โจมตีอาจทำให้อีเมลของบัญชีผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขโดยปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อน

CVE-2023-34352: Sergii Kryvoblotskyi จาก MacPaw Inc.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Apple Neural Engine

มีให้สำหรับอุปกรณ์ที่ใช้ Apple Neural Engine: iPhone 8 และใหม่กว่า, iPad Pro (รุ่นที่ 3) และใหม่กว่า, iPad Air (รุ่นที่ 3) และใหม่กว่า และ iPad mini (รุ่นที่ 5)

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

AppleMobileFileIntegrity

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-32411: Mickey Jin (@patch1t)

Associated Domains

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32371: James Duffy (mangoSecure)

Cellular

มีให้สำหรับ iPhone 8 และ iPhone X

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-32419: Amat Cama จาก Vigilant Labs

Core Location

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-32399: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

CoreServices

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-28191: Mickey Jin (@patch1t)

GeoServices

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-32392: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

ImageIO

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-32372: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

ImageIO

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-32384: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOSurfaceAccelerator

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-32354: Linus Henze จาก Pinauten GmbH (pinauten.de)

IOSurfaceAccelerator

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-32420: ทีม CertiK SkyFall และ Linus Henze จาก Pinauten GmbH (pinauten.de)

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

Kernel

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-27930: 08Tc3wBB จาก Jamf

Kernel

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32398: Adam Doupé จาก ASU SEFCOM

Kernel

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

LaunchServices

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-32352: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)

libxml2

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-29469: OSS-Fuzz และ Ned Williamson จาก Google Project Zero

CVE-2023-42869: OSS-Fuzz และ Ned Williamson จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

MallocStackLogging

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Metal

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลโมเดล 3D อาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-32403: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

NSURLSession

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงโปรโตคอลการจัดการไฟล์

CVE-2023-32437: Thijs Alkemade (@) จาก Computest Sector 7

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

PDFKit

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การเปิดไฟล์ PDF อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32385: Jonathan Fritz

Photos

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: เขย่าเพื่อเลิกทำอาจทำให้รูปภาพที่ถูกลบกลับมาใหม่โดยไม่ได้รับการตรวจสอบสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32365: Jiwon Park

Photos

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32390: Julian Szulc

Sandbox

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจยังคงเข้าถึงไฟล์การกำหนดค่าของระบบได้อยู่ แม้ว่าจะถูกเพิกถอนสิทธิ์อนุญาตแล้วก็ตาม

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa จาก FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) และ Csaba Fitzl (@theevilbit) จาก Offensive Security

Security

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-32367: James Duffy (mangoSecure)

Share Sheet

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2023-32432: Kirin (@Pwnrin)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Shortcuts

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32391: Wenchao Li และ Xiaolong Bai จาก Alibaba Group

Shortcuts

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com) และนักวิจัยนิรนาม

Siri

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: บุคคลที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์อาจสามารถดูข้อมูลรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32394: Khiem Tran

SQLite

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดการบันทึก SQLite เพิ่มเติม

CVE-2023-32422: Gergely Kalman (@gergely_kalman) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)

อัปเดตรายการเมื่อวันที่ 2 มิถุนายน 2023

StorageKit

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การตั้งค่าไฟร์วอลล์ของแอปอาจไม่มีผลหลังจากออกจากแอปการตั้งค่า

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-28202: Satish Panduranga และนักวิจัยนิรนาม

Telephony

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32412: Ivan Fratric จาก Google Project Zero

TV App

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-32408: นักวิจัยนิรนาม

Weather

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-32415: Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Adam M.

อัปเดตรายการเมื่อวันที่ 16 กรกฎาคม 2024

WebKit

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

WebKit Bugzilla: 255075

CVE-2023-32402: Ignacio Sanmillan (@ulexec)

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 254781

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถแยกตัวออกจาก Sandbox ของคอนเทนต์เว็บได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

WebKit Bugzilla: 255350

CVE-2023-32409: Clément Lecigne จาก Google's Threat Analysis Group และ Donncha Ó Cearbhaill จาก Amnesty International’s Security Lab

WebKit

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

WebKit Bugzilla: 254930

CVE-2023-28204: นักวิจัยนิรนาม

ปัญหานี้ได้รับการแก้ไขไปแล้วครั้งแรกในการตอบสนองด้านความปลอดภัยที่ฉับไวของ iOS 16.4.1 (a) และ iPadOS 16.4.1 (a)

WebKit

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 254840

CVE-2023-32373: นักวิจัยนิรนาม

ปัญหานี้ได้รับการแก้ไขไปแล้วครั้งแรกในการตอบสนองด้านความปลอดภัยที่ฉับไวของ iOS 16.4.1 (a) และ iPadOS 16.4.1 (a)

Wi-Fi

มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

คำขอบคุณพิเศษ

Accounts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sergii Kryvoblotskyi จาก MacPaw Inc.

CloudKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Iconic

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gabriel Geraldino de Souza

เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024

Find My

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Thakur, Artem Starovoitov, Hodol K และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero

Reminders

เราขอขอบคุณความช่วยเหลือจาก Kirin (@Pwnrin)

Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Toms

Share Sheet

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Transporter

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Wallet

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)

WebRTC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) จาก PK Security และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Wi-Fi

เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Wi-Fi Connectivity

เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: