เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iOS 9

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของของ iOS 9

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

iOS 9

  • Apple Pay

    มีให้สำหรับ: iPhone 6 และ iPhone 6 Plus

    ผลกระทบ: การ์ดบางอย่างอาจอนุญาตให้เทอร์มินัลดึงข้อมูลการทำธุรกรรมแบบจำกัดล่าสุดเมื่อทำการชำระเงิน

    คำอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกำหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก ปัญหานี้ไม่ได้ส่งผลกระทบต่ออุปกรณ์ iPad

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถรีเซ็ตจำนวนครั้งที่พยายามป้อนรหัสผ่านที่ล้มเหลวด้วยข้อมูลสำรอง iOS

    คำอธิบาย: มีปัญหาในการรีเซ็ตจำนวนครั้งที่พยายามป้อนรหัสผ่านที่ล้มเหลวด้วยข้อมูลสำรองของอุปกรณ์ iOS ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะความล้มเหลวของรหัสผ่านให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5850: นักวิจัยที่ไม่ประสงค์ออกนาม

  • Application Store

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การคลิกลิงก์ ITMS ที่เป็นอันตรายอาจทำให้เกิดปฏิเสธการให้บริการในแอพพลิเคชั่นที่องค์กรลงนาม

    คำอธิบาย: มีปัญหาในการติดตั้งผ่านลิงก์ ITMS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการติดตั้งเพิ่มเติม

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.

  • เสียง

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5862: YoungJin Yoon จาก Information Security Lab (Adv.: Prof. Taekyoung Kwon), Yonsei University, กรุงโซล ประเทศเกาหลี

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: อัพเดทให้เป็นนโยบายความน่าเชื่อถือของใบรับรอง

    คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัปเดต คุณสามารถดูรายชื่อใบรับรองทั้งหมดได้ที่https://support.apple.com/th-th/HT204132

  • CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: URL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถหลีกเลี่ยง HTTP Strict Transport Security (HSTS) และทำให้ข้อมูลสำคัญรั่วไหลได้

    คำอธิบาย: มีช่องโหว่ในการแยกวิเคราะห์ URL ในการจัดการ HSTS ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดเลือกชมเว็บส่วนตัวของ Safari ได้

    คำอธิบาย: มีปัญหาในการจัดการสถานะ HSTS ในโหมดเลือกชมเว็บส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh จาก RadicalResearch Ltd

  • CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอพของ Apple ได้

    คำอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสผ่านของผู้ใช้

    CVE-ID

    CVE-2015-5898: Andreas Kurtz จาก NESO Security Labs

  • คุ้กกี้ CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้

    คำอธิบาย: มีปัญหาคุกกี้ระหว่างโดเมนในการจัดการโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • คุ้กกี้ CFNetwork

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีอาจสามารถสร้างคุกกี้ที่ไม่พึงประสงค์สำหรับเว็บไซต์

    คำอธิบาย: WebKit อาจจะยอมรับการตั้งค่าคุกกี้จำนวนมากใน document.cookie API ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3801: Erling Ellingsen จาก Facebook

  • CFNetwork FTPProtocol

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เซิร์ฟเวอร์ FTP ที่เป็นอันตรายอาจสามารถทำให้ไคลเอนต์ดำเนินการสำรวจบนโฮสต์อื่นๆ

    คำอธิบาย: มีปัญหาในการจัดการแพ็คเก็ต FTP เมื่อใช้คำสั่ง PASV ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลบนเครือข่ายได้

    คำอธิบาย: มีปัญหาในการจัดการการป้อนรายการโหลดล่วงหน้าของ HSTS ในโหมดเลือกชมเว็บส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi จาก University of Luxembourg

  • CFNetwork Proxies

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเชื่อมต่อกับพร็อกซีเว็บที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสำหรับเว็บไซต์

    คำอธิบาย: มีปัญหาในการจัดการการตอบสนองการเชื่อมต่อพร็อกซี ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายสิทธิพิเศษอาจดักจับการเชื่อมต่อ SSL/TLS ได้

    คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองใน NSURL เมื่อมีการเปลี่ยนแปลงใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5824: Timothy J. Wood จาก The Omni Group

  • CFNetwork SSL

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการคุกคามที่รู้จักจู่โจมความเชื่อมั่นของ RC4 ผู้โจมตีสามารถบังคับใช้ RC4 โดยการปิดกั้น TLS 1.0 และการเชื่อมต่อที่สูงขึ้นจนกระทั่ง CFNetwork พยายามใช้ SSL 3.0 ซึ่งอนุญาตเฉพาะ RC4 แม้ว่าเซิร์ฟเวอร์ต้องการการเข้ารหัสที่ดีขึ้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบทางเลือกสำรองสำหรับ SSL 3.0

  • CoreAnimation

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงเฟรมบัฟเฟอร์บนหน้าจอในขณะที่อยู่ในเบื้องหลัง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการควบคุมการเข้าถึงบน IOSurfaces ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li จาก School of Information Systems Singapore Management University, Feng Bao และ Jianying Zhou จาก Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีอาจสามารถตรวจหากุญแจส่วนตัวได้

    คำอธิบาย: ผู้โจมตีอาจสามารถตรวจหากุญแจส่วนตัว RSA ได้โดยการสังเกตความพยายามในการลงชื่อเข้าหรือการถอดรหัสหลายครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น

  • CoreText

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • โปรแกรมตัวตรวจจับข้อมูล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ข้อความ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5829: M1x7e1 จาก Safeye Team (www.safeye.org)

  • Dev Tools

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5876: beist จาก grayhash

  • ภาพดิสก์

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการเซ็นชื่อรหัสได้

    คำอธิบาย: มีปัญหาในการตรวจสอบลายเซ็นรหัสของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่น Game Center ที่เป็นอันตรายอาจสามารถเข้าถึงที่อยู่อีเมลของผู้เล่นได้

    คำอธิบาย: มีปัญหาใน Game Center ในการจัดการอีเมลของผู้เล่น ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ช่องโหว่จำนวนมากใน ICU

    คำอธิบาย: มีช่องโหว่จำนวนมากใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท ICU ให้เป็นเวอร์ชั่น 55.1

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922: Mark Brand จาก Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5834: Cererdlong จาก Alibaba Mobile Security Team

  • IOAcceleratorFamily

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5867: moony li จาก Trend Micro

  • IOKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาการเตรียมใช้งานหน่วยความจำในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel จาก IOActive

  • iTunes Store

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ข้อมูลประจำตัวของ Apple ID อาจยังคงมีอยู่ในพวงกุญแจหลังจากที่ลงชื่อออก

    คำอธิบาย: มีปัญหาในการลบพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการล้างข้อมูลบัญชีให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5832: Kasif Dekel จาก Check Point Software Technologies

  • JavaScriptCore

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller จาก Google

    CVE-2015-5823: Apple

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5868: Cererdlong จาก Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard จาก m00nbsd

    CVE-2015-5903: CESG

    อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2016

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีเฉพาะอาจควบคุมค่าของคุกกี้สแต็ค

    คำอธิบาย: มีจุดอ่อนมากมายในการสร้างคุกกี้สแต็คของพื้นที่ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็คให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: กระบวนการในระบบสามารถปรับเปลี่ยนกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์

    คำอธิบาย: มีปัญหาเมื่อกระบวนการรากที่ใช้ processor_set_tasks API ได้รับอนุญาตให้เรียกพอร์ตงานของกระบวนการอื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม

    CVE-ID

    CVE-2015-5882: Pedro Vilaça ซึ่งทำงานจากการวิจัยเดิมโดย Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีอาจสามารถเริ่มการโจมตีการปฏิเสธการให้บริการในการเชื่อมต่อ TCP ที่มีการกำหนดเป้าหมายโดยไม่ทราบหมายเลขลำดับที่ถูกต้อง

    คำอธิบาย: มีปัญหาในการตรวจสอบ xnu ของส่วนหัวของแพ็คเก็ต TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบส่วนหัวของแพ็คเก็ต TCP ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีในส่วน LAN ในระบบอาจปิดใช้งานการกำหนดเส้นทาง IPv6

    คำอธิบาย: มีปัญหาการตรวจสอบที่ไม่เพียงพอในการจัดการการเผยแพร่เราเตอร์ IPv6 ที่อนุญาตให้ผู้โจมตีกำหนดขีดจำกัด hop เป็นค่าตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน XNU ที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานโครงสร้างหน่วยความจำเคอร์เนลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5842: beist จาก grayhash

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้

    คำอธิบาย: มีปัญหาในการต่อเชื่อมไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม

    CVE-ID

    CVE-2015-5748: Maxime Villard จาก m00nbsd

  • libc

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในฟังก์ชั่น fflush ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-8611: Adrian Chadd และ Alfred Perlstein จาก Norse Corporation

  • libpthread

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5899: Lufeng Li จาก Qihoo 360 Vulcan Team

  • เมล

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีสามารถส่งอีเมลที่แสดงว่ามาจากรายชื่อในสมุดที่อยู่ของผู้รับ

    คำอธิบาย: มีปัญหาในการจัดการที่อยู่ของผู้ส่ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5857: Emre Saglam จาก salesforce.com

  • การเชื่อมต่อ Multipeer

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถสังเกตข้อมูล Multipeer ที่ไม่มีการป้องกัน

    คำอธิบาย: มีปัญหาในการจัดการ Convenience Initializer ที่การเข้ารหัสอาจถูกดาวน์เกรดอย่างจริงจังเป็นเซสชั่นที่ไม่ได้เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปลี่ยน Convenience Initializer ให้ต้องใช้การเข้ารหัส

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) จาก Data Theorem

  • NetworkExtension

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานในเคอร์เนลที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำ

    CVE-ID

    CVE-2015-5831: Maxime Villard จาก m00nbsd

  • OpenSSL

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: มีช่องโหว่จำนวนมากใน OpenSSL ก่อนเวอร์ชั่น 0.9.8zg ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8zg

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นระดับองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่แอพพลิเคชั่นจะได้รับความเชื่อถือ

    คำอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอพให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.

  • removefile

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

    คำอธิบาย: มีข้อบกพร่องล้นเกินในรูทีนการหาร checkint ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงรูทีนการหารให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5840: นักวิจัยนิรนาม

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านที่คั่นหน้า Safari บนอุปกรณ์ iOS ที่ถูกล็อคได้โดยไม่ต้องใช้รหัส

    คำอธิบาย: ข้อมูลที่คั่นหน้า Safari ถูกเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลที่คั่นหน้า Safari ด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสของผู้ใช้

    CVE-ID

    CVE-2015-7118 : Jonathan Zdziarski

    อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2016

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: ปัญหาอาจอนุญาตให้เว็บไซต์แสดงเนื้อหาที่มี URL จากเว็บไซต์อื่น ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5904: Erling Ellingsen จาก Facebook, Łukasz Pilorz

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: การนำทางไปยังเว็บไซต์ที่เป็นอันตรายด้วยตัวเปิดหน้าต่างที่มีรูปแบบไม่ถูกต้อง อาจอนุญาตให้มีการแสดงผล URL ตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการตัวเปิดหน้าต่างให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5905: Keita Haga จาก keitahaga.com

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ใช้อาจถูกเว็บไซต์ที่มุ่งร้ายติดตามรอยโดยอาศัยใบรับรองฝั่งไคลเอนต์

    คำอธิบาย: มีปัญหาในการจับคู่ใบรับรองฝั่งไคลเอนต์ของ Safari สำหรับการพิสูจน์ตัวตนด้วย SSL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจับคู่ใบรับรองไคลเอนต์ที่ถูกต้องให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1129: Stefan Kraus แห่ง fluid Operations AG, Sylvain Munaut แห่ง Whatever s.a.

  • Safari

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: ความไม่สอดคล้องกันหลายจุดในอินเทอร์เฟซผู้ใช้อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายแสดง URL ได้ตามอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) จาก Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski ผ่าน Secunia, Masato Kinugawa

  • การเลือกดูอย่างปลอดภัยใน Safari

    iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การนำทางไปยังที่อยู่ IP ของเว็บไซต์ที่เป็นอันตรายที่รู้จักกันอาจไม่สั่งการการเตือนด้านการรักษาความปลอดภัย

    คำอธิบาย: คุณสมบัติการเลือกดูอย่างปลอดภัยใน Safari ไม่ได้เตือนผู้ใช้เมื่อเข้าชมเว็บไซต์ที่เป็นอันตรายที่รู้จักกันตามที่อยู่ IP ของเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจจับเว็บไซต์ที่เป็นอันตรายให้ดียิ่งขึ้น

    Rahul M จาก TagsDock

  • ความปลอดภัย

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถสกัดกั้นการสื่อสารระหว่างแอพได้

    คำอธิบาย: มีปัญหาที่อนุญาตให้แอพที่เป็นอันตรายสกัดกั้นการสื่อสารแบบแผน URL ระหว่างแอพ ปัญหานี้ได้รับการบรรเทาโดยการแสดงกล่องโต้ตอบ เมื่อแบบแผน URL ถูกนำมาใช้เป็นครั้งแรก

    CVE-ID

    CVE-2015-5835: Teun van Run จาก FiftyTwoDegreesNorth B.V.; XiaoFeng Wang จาก Indiana University, Luyi Xing จาก Indiana University, Tongxin Li จาก Peking University, Xiaolong Bai จาก Tsinghua University

  • Siri

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจสามารถใช้ Siri เพื่ออ่านการแจ้งเตือนของเนื้อหาที่มีการตั้งค่าไม่ให้แสดงที่หน้าจอล็อค

    คำอธิบาย: ข้อจำกัดฝั่งไคลเอนต์ไม่ได้ถูกตรวจสอบโดยเซิร์ฟเวอร์เมื่อมีการร้องขอ Siri ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบข้อจำกัดให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้ สามารถตอบกลับข้อความเสียงจากหน้าจอล็อคเมื่อการแสดงตัวอย่างข้อความจากหน้าจอล็อคถูกปิดใช้งาน

    คำอธิบาย: ปัญหาที่หน้าจอล็อคอนุญาตให้ผู้ใช้ตอบกลับข้อความเสียงเมื่อการแสดงตัวอย่างข้อความจากหน้าจอล็อคถูกปิดใช้งาน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5861: Daniel Miedema จาก Meridian Apps

  • SpringBoard

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถปลอมหน้าต่างโต้ตอบของแอพพลิเคชั่นอื่น

    คำอธิบาย: มีปัญหาในการเข้าถึงด้วยการเรียก API ที่มีสิทธิ์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ช่องโหว่จำนวนมากใน SQLite v3.8.5

    คำอธิบาย: มีช่องโหว่จำนวนมากใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท SQLite ให้เป็นเวอร์ชั่น 3.8.10.2

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขผ่านการจัดการหน่วยความจำที่ดีขึ้น

    CVE-ID

    CVE-2015-5522: Fernando Muñoz จาก NULLGroup.com

    CVE-2015-5523: Fernando Muñoz จาก NULLGroup.com

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การอ้างอิงออบเจ็กต์อาจรั่วไหลระหว่างต้นทางที่ถูกกั้นแยกในเหตุการณ์ที่กำหนดเอง เหตุการณ์ข้อความ และเหตุการณ์สถานะการปรากฏ

    คำอธิบาย: ปัญหาการรั่วไหลของออบเจ็กต์ทำลายขอบเขตการกั้นแยกระหว่างต้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการกั้นแยกระหว่างต้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดโทรออกโดยไม่ได้ตั้งใจ

    คำอธิบาย: มีปัญหาในการจัดการ URL ของ tel://, facetime:// และ facetime-audio:// ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: QuickType อาจเรียนรู้อักขระตัวสุดท้ายของรหัสผ่านในแบบฟอร์มเว็บที่มีการกรอกข้อมูล

    คำอธิบาย: มีปัญหาในการจัดการของ WebKit ในบริบทการป้อนรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการบริบทการป้อนข้อมูลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5906: Louis Romero จาก Google Inc.

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนเส้นทางไปยังโดเมนที่เป็นอันตราย

    คำอธิบาย: มีปัญหาในการจัดการแคชทรัพยากรในเว็บไซต์ที่มีใบรับรองที่ไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปฏิเสธแคชแอพพลิเคชั่นของโดเมนที่มีใบรับรองที่ไม่ถูกต้อง

    CVE-ID

    CVE-2015-5907: Yaoqi Jia จาก National University of Singapore (NUS)

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

    คำอธิบาย: Safari อนุญาตให้สไตล์ชีทข้ามต้นทางได้รับการโหลดด้วย MIME ที่ไม่ใช่ประเภท CSS ซึ่งสามารถนำมาใช้สำหรับการถอนข้อมูลข้ามต้นทางได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดประเภท MIME สำหรับสไตล์ชีทข้ามต้นทาง

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: Performance API อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหล

    คำอธิบาย: Performance API ของ WebKit อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหลได้โดยการวัดเวลา ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดความละเอียดของเวลา

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. จาก Network Security Lab แห่ง Columbia University

  • WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

    คำอธิบาย: มีปัญหากับส่วนหัวการจัดการเนื้อหาที่มีไฟล์แนบประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่อนุญาตฟังก์ชั่นบางอย่างสำหรับหน้าไฟล์แนบประเภท

    CVE-ID

    CVE-2015-5921: Mickey Shkatov จาก Intel(r) Advanced Threat Research Team, Daoyuan Wu จาก Singapore Management University, Rocky K. C. Chang จาก Hong Kong Polytechnic University, Łukasz Pilorz, superhei จาก www.knownsec.com

  • WebKit Canvas

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจเปิดเผยข้อมูลภาพจากเว็บไซต์อื่น

    คำอธิบาย: มีปัญหาการข้ามต้นทางกับภาพองค์ประกอบ "canvas" ใน WebKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5788: Apple

  • การโหลดหน้า WebKit

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: WebSockets อาจหลีกเลี่ยงการบังคับใช้นโยบายเนื้อหาแบบผสม

    คำอธิบาย: ปัญหาการบังคับใช้นโยบายที่ไม่เพียงพอที่อนุญาตให้ WebSockets โหลดเนื้อหาแบบผสมได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการขยายการบังคับใช้นโยบายเนื้อหาแบบผสมกับ WebSockets

    Kevin G. Jones จาก Higher Logic

FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: