เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 7.1.1

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 7.1.1

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "การอัปเดตความปลอดภัยของ Apple"

iOS 7.1.1

  • CFNetwork HTTPProtocol

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถรับข้อมูลส่วนบุคคลจากเว็บไซต์ได้

    คำอธิบาย: ส่วนหัว Set-Cookie HTTP จะได้รับการดำเนินการแม้ว่าจะปิดการเชื่อมต่อก่อนจะกรอกบรรทัดส่วนหัวเสร็จสมบูรณ์ก็ตาม ภัยคุกคามอาจดึงการตั้งค่าความปลอดภัยออกจากคุ้กกี้ด้วยการบังคับให้การเชื่อมต่อปิดก่อนจะส่งการตั้งค่าความปลอดภัย จากนั้นจะเก็บค่าคุ้กกี้ที่ไม่ได้รับการป้องกันเอาไว้ ปัญหานี้แก้ไขได้ด้วยการเพิกเฉยบรรทัดส่วนหัว HTTP ที่ยังไม่สมบูรณ์

    CVE-ID

    CVE-2014-1296 : Antoine Delignat-Lavaud แห่ง Prosecco ที่ Inria Paris

  • IOKit Kernel

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้ภายในสามารถอ่านตัวชี้เคอร์เนล ซึ่งสามารถใช้เพื่อบายพาสการสุ่มตำแหน่งหน่วยความจำ (ASLR) เคอร์เนล

    คำอธิบาย: ชุดตัวชี้เคอร์เนลที่จัดเก็บไว้ในวัตถุ IOKit อาจถูกเรียกคืนได้จาก Userland ปัญหานี้ได้รับการแก้ไขผ่านการลบตัวชี้ออกจากวัตถุนั้น

    CVE-ID

    CVE-2014-1320 : Ian Beer แห่ง Google Project Zero ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • ความปลอดภัย - Secure Transport

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจจับข้อมูลหรือเปลี่ยนการดำเนินการที่ทำในเซสชั่นที่ป้องกันไว้โดย SSL

    คำอธิบาย: ในภัยคุกคามแบบ 'Triple Handshake' เป็นไปได้ที่ภัยคุกคามจะสร้างการเชื่อมต่อสองชนิดซึ่งมีกุญแจการเข้ารหัสและ Handshake เดียวกัน โดยแทรกข้อมูลของภัยคุกคามในการเชื่อมต่อหนึ่ง และต่อรองใหม่เพื่อให้การเชื่อมต่อนั้นถูกส่งต่อหากัน หากต้องการป้องกันภัยคุกคามตามสถานการณ์เช่นนี้ Secure Transport จะถูกเปลี่ยน ตามค่าเริ่มต้น เพื่อให้การต่อรองใหม่ต้องแสดงใบรับรองเซิร์ฟเวอร์เดียวกันกับที่แสดงไว้ในการเชื่อมต่อดั้งเดิม

    CVE-ID

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan และ Alfredo Pironti แห่ง Prosecco ที่ Inria Paris

  • WebKit

    มีให้สำหรับ: iPhone 4 และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายหน่วยใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-2871 : miaubiz

    CVE-2014-1298 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1299 : ทีมรักษาความปลอดภัยของ Google Chrome, Apple, Renata Hodovan แห่ง University of Szeged / Samsung Electronics

    CVE-2014-1300 : Ian Beer แห่ง Google Project Zero ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2014-1302 : ทีมรักษาความปลอดภัยของ Google Chrome, Apple

    CVE-2014-1303 : KeenTeam ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2014-1304 : Apple

    CVE-2014-1305 : Apple

    CVE-2014-1307 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1308 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1309 : cloudfuzzer

    CVE-2014-1310 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1311 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1312 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1313 : ทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2014-1713 : VUPEN ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: