เกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 8.1.1

เอกสารนี้จะอธิบายเกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 8.1.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพทช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

iOS 8.1.1

  • CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แคชของเว็บไซต์อาจไม่ถูกล้างออกทั้งหมดหลังออกจากการเลือกชมเว็บแบบส่วนตัว

    คำอธิบาย: มีปัญหาความเป็นส่วนตัวโดยตำแหน่งที่เลือกดูข้อมูลอาจยังคงอยู่ในแคชหลังออกจากการเลือกชมเว็บแบบส่วนตัว ปัญหานี้แก้ไขได้ด้วยการเปลี่ยนพฤติกรรมการแคช

    CVE-ID

    CVE-2014-4460

  • dyld

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่ไม่ได้ลงชื่อได้

    คำอธิบาย: ปัญหาการจัดการสถานะที่อยู่ในการจัดการไฟล์ปฏิบัติการ Mach-O ที่มีเซ็กเมนต์ซ้อนทับกัน ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขนาดเซ็กเมนต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4455 : @PanguTeam

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจ็กต์ IOSharedDataQueue ปัญหานี้แก้ไขได้ด้วยการเปลี่ยนตำแหน่งที่ตั้งของข้อมูลเมต้า

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • หน้าจอล็อค

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่เข้าครอบครองอุปกรณ์อาจป้อนรหัสผ่านที่ไม่ถูกต้องเกินจำนวนสูงสุดที่กำหนด

    คำอธิบาย: ในบางกรณี ขีดจำกัดการป้อนรหัสผ่านที่ล้มเหลวอาจไม่ได้นำมาใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัดนี้เพิ่มเติม

    CVE-ID

    CVE-2014-4451 : Stuart Ryan แห่ง University of Technology, Sydney

  • หน้าจอล็อค

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานโทรศัพท์อาจสามารถเข้าถึงรูปภาพในคลังรูปภาพได้

    คำอธิบาย: ตัวเลือก ทิ้งข้อความ ใน FaceTime อาจทำให้สามารถดูและส่งรูปภาพจากอุปกรณ์ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4463

  • โปรไฟล์ Sandbox

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถเรียกใช้งานเลขฐานสองบนอุปกรณ์ที่เชื่อถือ

    คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตในฟังก์ชั่นการแก้ไขจุดบกพร่องสำหรับ iOS ที่อนุญาตการวางแอพพลิเคชั่นบนอุปกรณ์ที่เชื่อถือที่ยังไม่ได้รับการแก้ไขจุดบกพร่อง ซึ่งแก้ไขได้ด้วยการเปลี่ยน Sandbox ของเซิร์ฟเวอร์แก้ไขจุดบกพร่อง

    CVE-ID

    CVE-2014-4457 : @PanguTeam

  • Spotlight

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: มีข้อมูลที่ไม่จำเป็นรวมอยู่ในส่วนหนึ่งของการเชื่อมต่อเริ่มต้นระหว่าง Spotlight หรือ Safari และเซิร์ฟเวอร์คำแนะนำโดย Spotlight

    คำอธิบาย: การเชื่อมต่อเริ่มต้นที่ทำโดย Spotlight หรือ Safari กับเซิร์ฟเวอร์คำแนะนำโดย Spotlight ที่มีตำแหน่งที่ตั้งโดยประมาณของผู้ใช้ก่อนที่ผู้ใช้จะป้อนคำถาม ปัญหานี้แก้ไขได้ด้วยการเอาข้อมูลนี้ออกจากการเชื่อมต่อเริ่มต้นและให้ส่งตำแหน่งที่ตั้งโดยประมาณของผู้ใช้เมื่อเป็นส่วนหนึ่งของคำถามเท่านั้น

    CVE-ID

    CVE-2014-4453 : Ashkan Soltani

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4452

    CVE-2014-4462

FaceTime อาจสามารถใช้งานได้ในบางประเทศหรือภูมิภาค

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: