เกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดตซอฟต์แวร์ iOS 4.3.2

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดตซอฟต์แวร์ iOS 4.3.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของการอัปเดตซอฟต์แวร์ iOS 4.3.2 ซึ่งสามารถดาวน์โหลดและติดตั้งได้ โดยใช้ iTunes

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตซอฟต์แวร์ iOS 4.3.2

  • นโยบายความน่าเชื่อถือของใบรับรอง

    ใช้ได้กับ iOS 3.0 ถึง 4.3.1 สำหรับ iPhone 3GS และใหม่กว่า, iOS 3.1 ถึง 4.3.1 สำหรับ iPod touch (รุ่นที่ 3) และใหม่กว่า, iOS 3.2 ถึง 4.3.1 สำหรับ iPad

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายสิทธิพิเศษอาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ

    คำอธิบาย: มีหลายใบรับรอง SSL ที่ไม่น่าเชื่อถือที่ออกโดยสำนักทะเบียนสาขา Comodo ซึ่งอาจทำให้ผู้โจมตีที่เป็นคนกลางรีไดเร็กการเชื่อมต่อและดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ ได้ ปัญหานี้แก้ไขได้ด้วยการแบล็คลิสต์ใบรับรองที่ไม่น่าเชื่อถือ

    หมายเหตุ: สำหรับระบบ Mac OS X ปัญหานี้แก้ไขได้ด้วยการอัปเดตซอฟต์แวร์ความปลอดภัย 2011-002 สำหรับระบบ Windows Safari ใช้ที่เก็บใบรับรองในระบบปฏิบัติการโฮสต์เพื่อระบุว่าใบรับรองเซิร์ฟเวอร์ SSL น่าเชื่อถือ การใช้การอัปเดตที่อธิบายในบทความ Microsoft Knowledge Base 2524375 จะทำให้ Safari ตรวจสอบว่าใบรับรองนี้ไม่น่าเชื่อถือ บทความนี้มีอยู่ใน http://support.microsoft.com/kb/2524375

  • libxslt

    ใช้ได้กับ iOS 3.0 ถึง 4.3.1 สำหรับ iPhone 3GS และใหม่กว่า, iOS 3.1 ถึง 4.3.1 สำหรับ iPod touch (รุ่นที่ 3) และใหม่กว่า, iOS 3.2 ถึง 4.3.1 สำหรับ iPad

    ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยที่อยู่บนฮีพ

    คำอธิบาย: การนำฟังก์ชั่น generate-id() XPath ของ libxslt มาใช้งานเปิดเผยที่อยู่ของบัฟเฟอร์ฮีพ การเข้าชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยที่อยู่ซึ่งอยู่บนฮีพ ซึ่งอาจช่วยในการบายพาสการป้องกันการสุ่มตำแหน่งหน่วยความจำได้ ปัญหานี้แก้ไขได้ด้วยการสร้าง ID ตามความแตกต่างระหว่างที่อยู่ของสองบัพเฟอร์ฮีพ

    CVE-ID

    CVE-2011-0195 : Chris Evans จากทีมรักษาความปลอดภัย Google Chrome

  • QuickLook

    ใช้ได้กับ iOS 3.0 ถึง 4.3.1 สำหรับ iPhone 3GS และใหม่กว่า, iOS 3.1 ถึง 4.3.1 สำหรับ iPod touch (รุ่นที่ 3) และใหม่กว่า, iOS 3.2 ถึง 4.3.1 สำหรับ iPad

    ผลกระทบ: การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดูไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    CVE-ID

    CVE-2011-1417 : Charlie Miller และ Dion Blazakis ที่ทำงานกับ TippingPoint's Zero Day Initiative

  • WebKit

    ใช้ได้กับ iOS 3.0 ถึง 4.3.1 สำหรับ iPhone 3GS และใหม่กว่า, iOS 3.1 ถึง 4.3.1 สำหรับ iPod touch (รุ่นที่ 3) และใหม่กว่า, iOS 3.2 ถึง 4.3.1 สำหรับ iPad

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการชุดโหนด การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    CVE-ID

    CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann และนักวิจัยนิรนามที่ทำงานกับ TippingPoint's Zero Day Initiative

  • WebKit

    ใช้ได้กับ iOS 3.0 ถึง 4.3.1 สำหรับ iPhone 3GS และใหม่กว่า, iOS 3.1 ถึง 4.3.1 สำหรับ iPod touch (รุ่นที่ 3) และใหม่กว่า, iOS 3.2 ถึง 4.3.1 สำหรับ iPad

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    คำอธิบาย: มีปัญหา use-after-free ในการจัดการโหนดข้อความ การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสตามอำเภอใจ

    CVE-ID

    CVE-2011-1344 : Vupen Security ที่ทำงานกับ TippingPoint's Zero Day Initiative และ Martin Barbella

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: