เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 16.7 และ iPadOS 16.7

เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 16.7 และ iPadOS 16.7

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 16.7 และ iPadOS 16.7

เปิดตัวเมื่อวันที่ 21 กันยายน 2023

App Store

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจทะลุผ่านแซนด์บ็อกซ์ของคอนเทนต์บนเว็บได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการโปรโตคอลให้ดียิ่งขึ้น

CVE-2023-40448: w0wbox

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Apple Neural Engine

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

CVE-2023-42969: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 7 เมษายน 2025

Ask to Buy

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-38612: Chris Ross (Zoom)

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023

Biometric Authentication

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-41232: Liang Wei จาก PixiePoint Security

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

CoreAnimation

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40420: 이준성(Junsung Lee) จาก Cross Republic

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Core Image

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงรูปภาพที่แก้ไขแล้วที่บันทึกไว้ในไดเรกทอรีชั่วคราวได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2023-40438: Wojciech Regula จาก SecuRing (wojciechregula.blog)

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023

Game Center

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงรายชื่อได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

CVE-2023-40395: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Intents

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42961: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 7 เมษายน 2025

Kernel

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Kernel

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่มีการรันโค้ดเคอร์เนลแล้วอาจเลี่ยงการบรรเทาปัญหาหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-41981: Linus Henze จาก Pinauten GmbH (pinauten.de)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Kernel

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีจากในระบบอาจสามารถยกระดับสิทธิ์ของตนได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-41992: Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group

libxpc

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-41073: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

libxpc

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจลบไฟล์ที่ไม่ได้รับอนุญาตให้ลบได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2023-40454: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

libxslt

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40403: Dohyun Lee (@l33d0hyun) จาก PK Security

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

MobileStorageMounter

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2023-41068: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Passkeys

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจเข้าถึงพาสคีย์ได้โดยไม่ผ่านการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2023-40401: นักวิจัยนิรนามและ weize she

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023

Pro Res

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-41063: Certik Skyfall Team

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Safari

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจระบุได้ว่าผู้ใช้ได้ติดตั้งแอปอื่นใดบ้าง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-35990: Adriatik Raci จาก Sentry Cybersecurity

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Security

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปประสงค์ร้ายอาจเลี่ยงการตรวจสอบลายเซ็นได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7

คำอธิบาย: ปัญหาการตรวจสอบใบรับรองได้รับการแก้ไขแล้ว

CVE-2023-41991: Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group

Share Sheet

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลละเอียดอ่อนที่บันทึกไว้เมื่อผู้ใช้แชร์ลิงก์

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-41070: Kirin (@Pwnrin)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

WebKit

มีให้สำหรับ: iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group

คำขอบคุณพิเศษ

AppSandbox

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz, Ned Williamson จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd, ปูเน่ (อินเดีย)

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

WebRTC

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: