เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.2 และการอัปเดตความปลอดภัย 2014-001

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.2 และการอัปเดตความปลอดภัย 2014-001

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"

สามารถดาวน์โหลดและติดตั้งการอัปเดตนี้โดยใช้ การอัปเดตซอฟต์แวร์ หรือจาก เว็บไซต์การสนับสนุนของ Apple

OS X Mavericks v10.9.2 และการอัปเดตความปลอดภัย 2014-001

  • Apache

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: มีช่องโหว่หลายจุดใน Apache

    คำอธิบาย: มีช่องโหว่หลายจุดใน Apache ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การแฝงสคริปต์ (cross-site scripting) ปัญหาเหล่านี้สามารถแก้ได้ด้วยการอัปเดต Apache ให้เป็นเวอร์ชั่น 2.2.26

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • กล่องทรายทดสอบแอป

    มีให้สำหรับ: OS X Mountain Lion v10.8.5

    ผลกระทบ: กล่องทรายทดสอบแอปอาจถูกบายพาส

    คำอธิบาย: อินเทอร์เฟซ LaunchServices สำหรับเปิดแอปพลิเคชั่นอนุญาตให้แอปในกล่องทรายทดสอบกำหนดรายการอาร์กิวเมนต์ที่ผ่านไปยังกระบวนการใหม่ แอปพลิเคชั่นในกล่องทรายทดสอบที่บุกรุกนี้อาจใช้วิธีการนี้ในทางที่ผิดเพื่อบายพาสกล่องทรายทดสอบ ปัญหานี้ได้รับการแก้ไขด้วยการไม่ป้องกันไม่ให้แอปพลิเคชั่นในกล่องทรายทดสอบกำหนดอาร์กิวเมนต์ ปัญหานี้ไม่มีผลต่อระบบที่ใช้ OS X Mavericks 10.9 หรือใหม่กว่า

    CVE-ID

    CVE-2013-5179 : Friedrich Graeter แห่ง The Soulmen GbR

  • ATS

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการแบบอักษรประเภท 1 ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1254 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • ATS

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: กล่องทรายทดสอบแอปอาจถูกบายพาส

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการข้อความ Mach ที่ผ่านไปยัง ATS ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1262 : Meder Kydyraliev แห่งทีมรักษาความปลอดภัยของ Google

  • ATS

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: กล่องทรายทดสอบแอปอาจถูกบายพาส

    คำอธิบาย: มีปัญหา Arbitrary Free การจัดการข้อความ Mach ที่ผ่านไปยัง ATS ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบยืนยันข้อความ Mach เพิ่มเติม

    CVE-ID

    CVE-2014-1255 : Meder Kydyraliev แห่งทีมรักษาความปลอดภัยของ Google

  • ATS

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: กล่องทรายทดสอบแอปอาจถูกบายพาส

    คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินในการจัดการข้อความ Mach ที่ผ่านไปยัง ATS ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2014-1256 : Meder Kydyraliev แห่งทีมรักษาความปลอดภัยของ Google

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: ใบรับรองรากถูกอัปเดต

    คำอธิบาย: ชุดของการรับรองรากระบบได้รับการอัปเดต รายชื่อทั้งหมดของรากระบบที่รู้จักอาจดูได้ผ่านทางแอปพลิเคชั่นการเข้าถึงพวงกุญแจ

  • คุ้กกี้ CFNetwork

    มีให้สำหรับ: OS X Mountain Lion v10.8.5

    ผลกระทบ: คุ้กกี้ของเซสชั่นอาจคงอยู่แม้จะรีเซ็ต Safari แล้วก็ตาม

    คำอธิบาย: การรีเซ็ต Safari ไม่ได้ลบคุ้กกี้ของเซสชั่นเสมอไปจนกว่าจะปิด Safari ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการคุ้กกี้ของเซสชั่นให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลต่อระบบที่ใช้ OS X Mavericks 10.9 หรือใหม่กว่า

    CVE-ID

    CVE-2014-1257 : Rob Ansaldo แห่ง Amherst College, Graham Bennett

  • CoreAnimation

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การไปไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการภาพของ CoreAnimation ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1258 : Karl Smith แห่ง NCC Group

  • CoreText

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: แอปพลิเคชั่นที่ใช้ CoreText อาจเปราะบางต่อการทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา Signedness ใน CoreText ในการจัดการแบบอักษร Unicode ปัญหาได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1261 : Lucas Apa และ Carlos Mario Penagos แห่ง IOActive Labs

  • curl

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

    คำอธิบาย: เมื่อใช้ curl เพื่อเชื่อมต่อกับ URL แบบ HTTPS ที่มีที่อยู่ IP ที่อยู่ IP นั้นจะไม่ได้รับการตรวจสอบโดยเทียบกับการรับรอง ปัญหานี้ไม่มีผลต่อระบบก่อนหน้า OS X Mavericks v10.9

    CVE-ID

    CVE-2014-1263 : Roland Moriz แห่ง Moriz GmbH

  • ความปลอดภัยของข้อมูล

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจจับข้อมูลหรือเปลี่ยนแปลงข้อมูลในเซสชั่นที่ได้รับการป้องกันโดย SSL/TLS

    คำอธิบาย: การถ่ายโอนที่ปลอดภัยไม่สามารถตรวจสอบยืนยันความถูกต้องของการเชื่อมต่อได้ ปัญหานี้ได้รับการแก้ไขด้วยการกู้คืนขั้นตอนการตรวจสอบยืนยันที่หายไป

    CVE-ID

    CVE-2014-1266

  • วันที่และเวลา

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: ผู้ใช้ที่ไม่มีสิทธิ์อาจเปลี่ยนนาฬิกาของระบบ

    คำอธิบาย: การอัปเดตนี้จะเปลี่ยนพฤติกรรมของ 

    systemsetup
    คำสั่งเพื่อให้ได้สิทธิ์ผู้ดูแลระบบเพื่อจะเปลี่ยนนาฬิกาของระบบ

    CVE-ID

    CVE-2014-1265

  • ที่คั่นหน้าไฟล์

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การดูไฟล์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินในการจัดการชื่อไฟล์ ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1259

  • Finder

    มีให้สำหรับ: OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเข้าถึง ACL ของไฟล์ผ่านทาง Finder อาจทำให้ผู้ใช้รายอื่นได้รับการเข้าถึงไฟล์โดยไม่ได้รับอนุญาตได้

    คำอธิบาย: การเข้าถึง ACL ของไฟล์ผ่านทาง Finder อาจทำให้ทำให้ ACL บนไฟล์เสียหาย ปัญหานี้ได้รับการแก้ไขผ่านการจัดการ ACL ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1264

  • ImageIO

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้กำหนดเป็นค่าตั้งต้นในการจัดการมาร์คเกอร์ JPEG ของ libjpeg ส่งผลให้เกิดการเปิดเผยเนื้อหาของหน่วยความจำ ปัญหานี้ได้รับการแก้ไขด้วยการจัดการ JPEG ที่ดียิ่งขึ้น

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • IOSerialFamily

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    ผลกระทบ: การใช้งานแอปพลิเคชั่นที่ประสงค์ร้ายอาจมีผลให้มีการใช้รหัสโดยอำเภอใจภายในเคอร์เนล

    คำอธิบาย: มีการเข้าถึงอาร์เรย์ที่อยู่นอกขอบข่ายในไดรฟ์เวอร์ IOSerialFamily ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบขอบเขตเพิ่มเติม ปัญหานี้ไม่มีผลต่อระบบที่ใช้ OS X Mavericks 10.9 หรือใหม่กว่า

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • LaunchServices

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    ผลกระทบ: ไฟล์อาจแสดงนามสกุลผิด

    คำอธิบาย: มีปัญหาในการจัดการตัวอักษร Unicode บางตัวที่อาจทำให้ชื่อไฟล์แสดงนามสกุลไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขด้วยการกรองตัวอักษร Unicode ที่ไม่ปลอดภัยออกไม่ให้แสดงในชื่อไฟล์ ปัญหานี้ไม่มีผลต่อระบบที่ใช้ OS X Mavericks 10.9 หรือใหม่กว่า

    CVE-ID

    CVE-2013-5178 : Jesse Ruderman แห่ง Mozilla Corporation, Stephane Sudre แห่ง Intego

  • ไดรเวอร์ NVIDIA

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การใช้งานแอปพลิเคชั่นที่ประสงค์ร้ายอาจมีผลให้มีการใช้รหัสโดยอำเภอใจภายในการ์ดกราฟิก

    คำอธิบาย: มีปัญหาที่อนุญาตให้เขียนถึงหน่วยความจำที่เชื่อถือได้บางชนิดบนการ์ดกราฟิก ปัญหานี้ได้รับการแก้ไขด้วยการลบความสามารถของโฮสต์ในการเขียนถึงหน่วยความจำนั้น

    CVE-ID

    CVE-2013-5986 : Marcin Kościelnicki จากโปรเจ็กต์ X.Org Foundation Nouveau

    CVE-2013-5987 : Marcin Kościelnicki จากโปรเจ็กต์ X.Org Foundation Nouveau

  • PHP

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: มีช่องโหว่หลายจุดใน PHP ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขด้วยการอัปเดต PHP ให้เป็นเวอร์ชั่น 5.4.24 บน OS X Mavericks v10.9 และ 5.3.28 บน OS X Lion และ Mountain Lion

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    มีให้สำหรับ: OS X Mountain Lion v10.8.5

    ผลกระทบ: การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ ปัญหานี้ไม่มีผลต่อระบบที่ใช้ OS X Mavericks 10.9 หรือใหม่กว่า

    CVE-ID

    CVE-2014-1260 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • QuickLook

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การดาวน์โหลดเอกสาร Microsoft Word ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดการทำงานโดยไม่คาดคิดหรือใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา Double Free ในการจัดการเอกสาร Microsoft Word ของ QuickLook ปัญหานี้ได้รับการแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำ

    CVE-ID

    CVE-2014-1252 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินในการจัดการอะตอม 'ftab' ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1246 : นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการอะตอม 'dref' ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1247 : Tom Gallagher และ Paul Bates ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินที่ในการจัดการอะตอม 'ldat' ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1248 : Jason Kratzer ที่ทำงานร่วมกับ iDefense VCP

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การดูภาพ PSD ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินในการจัดการภาพ PSD ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1249 : dragonltx แห่งทีมรักษาความปลอดภัยของ Tencent

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการสลับไบต์ที่อยู่นอกขอบเขตในการจัดการองค์ประกอบ 'ttfo' ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1250 : Jason Kratzer ที่ทำงานร่วมกับ iDefense VCP

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 และ 10.9.1

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาก Signedness ในการจัดการอะตอม 'stsz' ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1245 : Tom Gallagher และ Paul Bates ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • การถ่ายโอนที่ปลอดภัย

    มีให้สำหรับ: OS X Mountain Lion v10.8.5

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการจู่โจมที่บนความเชื่อมั่นของ SSL 3.0 และ TLS 1.0 เมื่อ cipher suite ใช้ block cipher ในโหมด CBC เพื่อแก้ไขปัญหาเหล่านี้สำหรับแอปพลิเคชั่นที่ใช้การถ่ายโอนที่ปลอดภัย การผ่อนปรนส่วนย่อย 1 ไบต์จึงถูกเปิดใช้งานตามค่าเริ่มต้นสำหรับการกำหนดค่านี้

    CVE-ID

    CVE-2011-3389 : Juliano Rizzo และ Thai Duong

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: