เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Xcode 7.0

เอกสารฉบับนี้อธิบายเนื้อหาด้านความปลอดภัยของ Xcode 7.0

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่หน้าเว็บไซต์การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ รายการอัปเดตความปลอดภัยของ Apple

Xcode 7.0

  • DevTools

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่า

    ผลกระทบ: ผู้โจมตีอาจสามารถบายพาสข้อจำกัดการเข้าถึงได้

    คำอธิบาย: มีปัญหา API ในการกำหนดค่า Apache ปัญหานี้ได้รับการแก้ไขแล้วด้วยการอัปเดตไฟล์ส่วนหัวเพื่อใช้เวอร์ชั่นล่าสุด

    CVE-ID

    CVE-2015-3185 : Branko Äibej จาก Apache Software Foundation

  • IDE Xcode Server

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่

    ผลกระทบ: ผู้โจมตีอาจสามารถเข้าถึงส่วนที่จำกัดการเข้าถึงของระบบไฟล์ได้

    คำอธิบาย: มีปัญหาการเปรียบเทียบในโมดูลการส่ง node.js ก่อนหน้าเวอร์ชั่น 0.8.4 ปัญหานี้ได้รับแก้ไขแล้วด้วยการอัปเกรดเป็นเวอร์ชัน 0.12.3

    CVE-ID

    CVE-2014-6394 : Ilya Kantor

  • IDE Xcode Server

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่า

    ผลกระทบ: มีช่องโหว่จำนวนมากใน OpenSSL

    คำอธิบาย: มีช่องโหว่จำนวนมากในโมดูล node.js OpenSSL ก่อนหน้าเวอร์ชั่น 1.0.1j ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัปเดต OpenSSL ให้เป็นเวอร์ชั่น 1.0.1j

    CVE-ID

    CVE-2014-3513

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • IDE Xcode Server

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่า

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถตรวจสอบการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ Xcode ได้

    คำอธิบาย: อาจเชื่อมต่อกับเซิร์ฟเวอร์ Xcode ได้โดยไม่มีการเข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะการเชื่อมต่อเครือข่ายให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5910 : นักวิจัยนิรนาม

  • IDE Xcode Server

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่า

    ผลกระทบ: การแจ้งเตือนของ Build อาจถูกส่งไปยังผู้รับที่ไม่ได้ตั้งใจ

    คำอธิบาย: มีปัญหาการเข้าถึงในการจัดการรายชื่ออีเมลที่เก็บ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5909 : Daniel Tomlinson จาก Rocket Apps, David Gatwood จาก Anchorfree

  • subversion

    มีให้สำหรับ: OS X Yosemite v10.10.4 หรือใหม่กว่า

    ผลกระทบ: มีช่องโหว่จำนวนมากใน svn เวอร์ชั่นก่อนหน้า 1.7.19

    คำอธิบาย: มีช่องโหว่จำนวนมากใน svn เวอร์ชั่นก่อนหน้า 1.7.19 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัปเดต svn เป็นเวอร์ชั่น 1.7.20

    CVE-ID

    CVE-2015-0248

    CVE-2015-0251

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: