เกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 8.4.1

เอกสารนี้จะอธิบายเกี่ยวกับข้อมูลด้านความปลอดภัยของ iOS 8.4.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพทช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

คุณสามารถดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

iOS 8.4.1

  • AppleFileConduit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: คำสั่ง afc ที่ออกแบบมาเพื่อประสงค์ร้ายอาจจะอนุญาตให้เข้าถึงส่วนที่ได้รับการป้องกันของระบบไฟล์

    คำอธิบาย: มีปัญหาในกลไกการเชื่อมโยงสัญลักษณ์ของ afc ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการตรวจสอบพาธเพิ่มเติม

    CVE-ID

    CVE-2015-5746: evad3rs, TaiG Jailbreak Team

  • Air Traffic

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: AirTraffic อาจอนุญาตให้เข้าถึงส่วนที่มีการป้องกันของระบบไฟล์

    คำอธิบาย: มีปัญหาการเดินทางระหว่างเส้นทางในการจัดการสินทรัพย์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5766: TaiG Jailbreak Team

  • ข้อมูลสำรอง

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถสร้าง symlinks ไปยังพื้นที่ที่มีการป้องกันของดิสก์

    คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5752: TaiG Jailbreak Team

  • bootp

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีอาจสามารถตรวจหาเครือข่าย Wi-Fi ที่อุปกรณ์เข้าถึงก่อนหน้านี้

    คำอธิบาย: เมื่อเชื่อมต่อกับเครือข่าย Wi-Fi แล้ว ที่อยู่ MAC ของเครือข่ายที่เข้าถึงก่อนหน้านี้อาจได้รับการเผยแพร่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเผยแพร่เฉพาะที่อยู่ MAC ที่เชื่อมโยงกับ SSID ปัจจุบัน

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon แห่งสถาบันอินเทอร์เน็ตออกซ์ฟอร์ด มหาวิทยาลัยออกซ์ฟอร์ด (ในโครงการ EPSRC Being There project)

  • UI ของใบรับรอง

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าถึงเครือข่ายอาจสามารถยอมรับใบรับรองที่ไม่น่าเชื่อถือจากหน้าจอล็อค

    คำอธิบาย: ภายใต้สถานการณ์บางอย่าง อุปกรณ์อาจแสดงกล่องโต้ตอบการเชื่อถือใบรับรองในขณะที่อยู่ในสถานะที่ถูกล็อค ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3756: Andy Grant แห่ง NCC Group

  • CloudKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเข้าถึงบันทึกของผู้ใช้ iCloud ของผู้ใช้ที่ลงชื่อเข้าใช้ก่อนหน้านี้

    คำอธิบาย: เกิดความไม่สอดคล้องกันของสถานะใน CloudKit เมื่อลงชื่อออกให้ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha แห่งมหาวิทยาลัยโตรอนโต

  • CFPreferences

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถอ่านการตั้งค่าที่มีการจัดการของแอพอื่นๆ

    คำอธิบาย: มีปัญหาใน Sandbox ของแอพของบริษัทอื่น ปัญหานี้แก้ไขได้ด้วยการปรับปรุงโปรไฟล์ Sandbox บุคคลที่สามให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3793: Andreas Weinlein แห่ง Appthority Mobility Threat Team

  • การลงชื่อรหัส

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถรันรหัสที่ไม่ได้ลงชื่อ

    คำอธิบาย: มีปัญหาที่อนุญาตให้รหัสที่ไม่ได้ลงชื่อได้รับการผนวกเข้ากับรหัสที่ลงชื่อแล้วในไฟล์แบบรันได้ ซึ่งสร้างขึ้นเป็นพิเศษ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบลายเซ็นรหัสให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • การลงชื่อรหัส

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ไฟล์แบบรันได้ซึ่งสร้างขึ้นเป็นพิเศษอาจอนุญาตให้ใช้รหัสที่เป็นอันตรายที่ไม่ได้ลงชื่อ

    คำอธิบาย: มีปัญหาในวิธีการประเมินไฟล์แบบหลายสถาปัตยกรรมที่รันได้ ที่อาจอนุญาตให้ใช้รหัสที่ไม่ได้ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบไฟล์แบบรันได้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • การลงชื่อรหัส

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่ไม่ได้ลงชื่อได้

    คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการไฟล์ Mach-O ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติม

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • การเล่น CoreMedia

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน CoreMedia Playback ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์ DMG ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพ DMG ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3800: Frank Graziano แห่ง Yahoo Pentest Team

  • FontParser

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์ .tiff ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ .tiff ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำกระบวนการ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานในการจัดการภาพ PNG ของ ImageIO การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจส่งผลให้เกิดการส่งข้อมูลจากหน่วยความจำกระบวนการไปยังเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบภาพ PNG เพิ่มเติม

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำกระบวนการ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานในการจัดการภาพ TIFF ของ ImageIO การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจส่งผลให้เกิดการส่งข้อมูลจากหน่วยความจำกระบวนการไปยังเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบภาพ TIFF เพิ่มเติม

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การแยกวิเคราะห์ Plist ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีหน่วยความจำเสียหายในการประมวลผล plist ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3776: Teddy Reed แห่ง Facebook Security, Patrick Stein (@jollyjinx) แห่ง Jinx Germany

  • IOHIDFamily

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาบัฟเฟอร์เกินใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาในอินเทอร์เฟซ mach_port_space_info ซึ่งอาจทำให้เกิดการเปิดเผยเค้าโครงหน่วยความจำเคอร์เนลได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานอินเทอร์เฟซ mach_port_space_info

    CVE-ID

    CVE-2015-3766: Cererdlong จาก Alibaba Mobile Security Team, @PanguTeam

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาเลขจำนวนเต็มมากเกินไปในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบยืนยันอาร์กิวเมนต์ IOKit API ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • เคอร์เนล

    iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเลี่ยงข้อจำกัดการทำงานในพื้นหลังได้

    คำอธิบาย: มีปัญหาการเข้าถึงกับกลไกการแก้จุดบกพร่องบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่มการตรวจสอบความถูกต้อง

    CVE-ID

    CVE-2015-5787: Alessandro Reina, Mattia Pagnozzi และ Stefano Bianchi Mazzone แห่ง FireEye

  • Libc

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลนิพจน์ปกติที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในไลบรารี TRE ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3796: Ian Beer แห่ง Google Project Zero

    CVE-2015-3797: Ian Beer แห่ง Google Project Zero

    CVE-2015-3798: Ian Beer แห่ง Google Project Zero

  • Libinfo

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการซ็อคเก็ต AF_INET6 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการ syscall ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบสถานะการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5757: Lufeng Li แห่ง Qihoo 360

  • libxml2

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: มีช่องโหว่จำนวนมากใน libxml2 ก่อนเวอร์ชั่น 2.9.2 ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีระยะไกลปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน libxml2 ก่อนเวอร์ชั่น 2.9.2 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท libxml2 ให้เป็นเวอร์ชั่น 2.9.2

    CVE-ID

    CVE-2014-0191: Felix Groebert แห่ง Google

    CVE-2014-3660: Felix Groebert แห่ง Google

  • libxpc

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการข้อความ XPC ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการปรับปรุงโดยการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • เฟรมเวิร์กตำแหน่งที่ตั้ง

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

    คำอธิบาย: ปัญหาการเชื่อมโยงสัญลักษณ์ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3759: Cererdlong จาก Alibaba Mobile Security Team

  • MobileInstallation

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นระดับองค์กรที่เป็นอันตรายอาจสามารถแทนที่ส่วนขยายสำหรับแอพพลิเคชั่นอื่นๆ ได้

    คำอธิบาย: มีปัญหาในตรรกะการติดตั้งสำหรับแอพ Provisioning Profile แบบทั่วไปซึ่งทำให้เกิดความขัดแย้งกับ ID บันเดิลที่มีอยู่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบ ID บันเดิลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5770: Zhaofeng Chen, Yulong Zhang, และ Tao Wei แห่ง FireEye, Inc.

  • MSVDX Driver

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การดูวิดีโอที่เป็นอันตรายอาจทำให้ระบบหยุดทำงานโดยไม่คาดหมาย

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5769: Proteas แห่ง Qihoo 360 Nirvan Team

  • Office Viewer

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาการอ้างอิงเอนทิตีภายนอกในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3784: Bruno Morisson แห่ง INTEGRITY S.A.

  • QL Office

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์เอกสาร Office ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5773: Apple

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: เว็บไซต์ที่เป็นอันตรายอาจสามารถเปิดไซต์อื่น และมีพร้อมท์แจ้งให้ผู้ใช้ป้อนข้อมูล โดยที่ผู้ใช้ไม่มีวิธีที่จะตรวจสอบว่าพร้อมท์นั้นมาจากที่ใด ปัญหานี้ได้รับการแก้ไขแล้วโดยการแสดงแหล่งที่มาของพร้อมท์ให้ผู้ใช้ได้ทราบ

    CVE-ID

    CVE-2015-3729: Code Audit Labs แห่ง VulnHunt.com

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจกระตุ้นให้เกิดข้อความเตือนในจำนวนไม่จำกัด

    คำอธิบาย: เกิดปัญหาที่เว็บไซต์ที่เป็นอันตรายหรือถูกเจาะระบบสามารถแสดงข้อความเตือนในจำนวนไม่จำกัด และทำให้ผู้ใช้เชื่อว่าเบราเซอร์ของตนถูกล็อค ปัญหานี้ได้รับการแก้ไขแล้วโดยการควบคุมปริมาณของการเตือน JavaScript

    CVE-ID

    CVE-2015-3763

  • Sandbox_profiles

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถอ่านการตั้งค่าที่มีการจัดการของแอพอื่นๆ

    คำอธิบาย: มีปัญหาใน Sandbox ของแอพของบริษัทอื่น ปัญหานี้แก้ไขได้ด้วยการปรับปรุงโปรไฟล์ Sandbox บุคคลที่สามให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5749: Andreas Weinlein แห่ง Appthority Mobility Threat Team

  • UIKit WebView

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเริ่มการโทรผ่าน FaceTime โดยไม่มีการอนุญาตจากผู้ใช้

    คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ URL ของ FaceTime ภายใน WebViews ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3758: Brian Simmons แห่ง Salesforce, Guillaume Ross

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • เว็บ

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: การนำทางไปยัง URL ที่มีรูปแบบผิดปกติอาจเปิดโอกาสให้เว็บไซต์ที่เป็นอันตรายแสดง URL ได้โดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3755: xisigr แห่ง Xuanwu Lab ของ Tencent

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจกรองทิ้งข้อมูลภาพข้ามต้นทาง

    คำอธิบาย: ภาพที่เรียกผ่าน URL ที่เปลี่ยนเส้นทางไปยังทรัพยากร data:image อาจถูกกรองทิ้งข้ามต้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการติดตาม Canvas Taint ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3753: Antonio Sanso และ Damien Antipa แห่ง Adobe

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายสามารถเริ่มส่งคำขอที่เป็นข้อความธรรมดาไปยังต้นทางภายใต้ HTTP Strict Transport Security

    คำอธิบาย: มีปัญหาคำขอรายงานนโยบายการรักษาความปลอดภัยข้อมูลไม่ยึดถือ HTTP Strict Transport Security (HSTS) ปัญหาได้รับการแก้ไขแล้วโดยการปรับใช้ HSTS กับ CSP

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจทำให้การแตะสร้างการคลิกแบบ synthetic ในหน้าอื่น

    คำอธิบาย: มีปัญหาเกี่ยวกับวิธีสร้างการคลิกแบบ synthetic จากการแตะที่อาจทำให้เกิดการคลิกที่กำหนดเป้าหมายที่หน้าอื่นๆ ปัญหานี้ได้รับการแก้ไขแล้วโดยการกระจายการคลิกแบบจำกัด

    CVE-ID

    CVE-2015-5759: Phillip Moon และ Matt Weston แห่ง Sandfield

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: คำขอรายงานนโยบายการรักษาความปลอดภัยข้อมูลอาจทำให้คุกกี้รั่วไหล

    คำอธิบาย: มีปัญหาสองข้อเกี่ยวกับวิธีการเพิ่มคุกกี้ในคำขอรายงานนโยบายการรักษาความปลอดภัยข้อมูล คุกกี้ถูกส่งมาในคำขอรายงานแบบข้ามต้นทางโดยมีการละเมิดมาตรฐาน คุกกี้ที่ตั้งค่าระหว่างการเรียกดูแบบปกติถูกส่งไปในรูปแบบการเรียกดูแบบส่วนตัว ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการคุกกี้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การโหลดภาพอาจละเมิดคำสั่งนโยบายการรักษาความปลอดภัยข้อมูลของเว็บไซต์

    คำอธิบาย: เกิดปัญหาที่เว็บไซต์ที่มีการควบคุมวิดีโออาจโหลดภาพที่ซ้อนกันในองค์ประกอบของออบเจ็กต์ โดยมีการละเมิดคำสั่งนโยบายการรักษาความปลอดภัยข้อมูลของเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการบังคับใช้นโยบายการรักษาความปลอดภัยข้อมูลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: