เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 16.7.2 และ iPadOS 16.7.2
เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ iOS 16.7.2 และ iPadOS 16.7.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 16.7.2 และ iPadOS 16.7.2
เปิดตัวเมื่อวันที่ 25 ตุลาคม 2023
CoreAnimation
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40449: Tomi Tokics (@tomitokics) จาก iTomsn0w
Core Recents
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการล้างข้อมูลบันทึก
CVE-2023-42823
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Find My
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-40413: Adam M.
ImageIO
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40416: JZ
ImageIO
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-42848: JZ
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
IOTextEncryptionFamily
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40423: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: ผู้โจมตีที่สั่งให้โค้ดทำงานในระดับเคอร์เนลได้แล้ว อาจสามารถหลบเลี่ยงกลไกป้องกันปัญหาช่องโหว่หน่วยความจำเคอร์เนลได้ด้วย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42849: Linus Henze จาก Pinauten GmbH (pinauten.de)
libc
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การประมวลผลอินพุตที่สร้างขึ้นเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการในแอปที่ผู้ใช้ติดตั้ง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40446: inooo
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2023
libxpc
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยปรับปรุงการจัดการ symlinks
CVE-2023-42942: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Mail Drafts
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ซ่อนอีเมลของฉันอาจถูกปิดใช้งานโดยไม่คาดคิด
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2023-42846: Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co
Pro Res
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute
Pro Res
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-42873: Mingxuan Yang (@PPPF00L) และ happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Safari
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ประสงค์ร้ายอาจเปิดเผยประวัติการเยี่ยมชม
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-41977: Alex Renda
Siri
มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Weather
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-41254: Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: รหัสผ่านอาจถูกอ่านออกเสียงโดย VoiceOver
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) จาก Cross Republic
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) และ Vitor Pedreira (@0xvhp_) จาก Agile Information Security
อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
WebKit Process Model
มีให้สำหรับ iPhone 8 เป็นต้นไป, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 เป็นต้นไป, iPad รุ่นที่ 5 เป็นต้นไป และ iPad mini รุ่นที่ 5 เป็นต้นไป
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิด Denial of Service
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
คำขอบคุณพิเศษ
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz, Ned Williamson จาก Google Project Zero
libarchive
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bahaa Naamneh
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gishan Don Ranasinghe และนักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม