เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 9.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 9.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดู รายการอัพเดทความปลอดภัยของ Apple

iOS 9.1

  • Accelerate Framework

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน Accelerate Framework ในโหมดมัลติเธรด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบองค์ประกอบตัวเข้าถึงให้ดียิ่งขึ้น และการปรับปรุงการล็อคออบเจ็กต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่แบบข้ามไฟล์ในการจัดการข้อมูลเก็บถาวรของ CPIO ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7006: Mark Dowd จาก Azimuth Security

  • CFNetwork

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้คุกกี้ถูกบันทึกทับ

    คำอธิบาย: มีปัญหาการแยกวิเคราะห์เมื่อจัดการคุกกี้ที่มีตัวพิมพ์ของตัวอักษรแตกต่างกัน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7023: Marvin Scholz และ Michael Lutonsky; Xiaofeng Zheng และ Jinjin Liang จาก Tsinghua University, Jian Jiang จาก University of California, Berkeley, Haixin Duan จาก Tsinghua University และ International Computer Science Institute, Shuo Chen จาก Microsoft Research Redmond, Tao Wan จาก Huawei Canada, Nicholas Weaver จาก International Computer Science Institute และ University of California, Berkeley ซึ่งประสานงานผ่าน CERT/CC

  • configd

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถยกระดับสิทธิ์ได้

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในไลบรารีไคลเอนต์ DNS แอพพลิเคชั่นที่เป็นอันตรายซึ่งสามารถเลียนแบบการตอบสนองจากบริการ configd ในระบบอาจทำให้มีการใช้รหัสโดยอำเภอใจในไคลเอนต์ DNS

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากใน CoreGraphics ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • ภาพดิสก์

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6995: Ian Beer จาก Google Project Zero

  • FontParser

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายเมื่อจัดการการเรียกเพื่อจัดส่ง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6989: Apple

  • ไดรเวอร์กราฟิก

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การใช้งานแอพพลิเคชั่นที่เป็นอันตรายอาจมีผลให้มีการใช้รหัสโดยอำเภอใจภายในเคอร์เนล

    คำอธิบาย: มีปัญหาความสับสนของประเภทใน AppleVXD393 ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6986: Proteas จาก Qihoo 360 Nirvan Team

  • ImageIO

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การดูไฟล์ภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในการแยกวิเคราะห์เมตาดาต้าของอิมเมจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6996: Ian Beer จาก Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) จาก NowSecure Research Team

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • เคอร์เนล

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาเมื่อใช้หน่วยความจำเสมือนซ้ำ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6994: Mark Mentovai จาก Google Inc.

  • mDNSResponder

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในการแยกวิเคราะห์ข้อมูล DNS ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ปัญหาช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • ศูนย์การแจ้ง

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การแจ้งทางโทรศัพท์และข้อความอาจปรากฏขึ้นบนหน้าจอล็อคแม้กำลังปิดใช้งานอยู่

    คำอธิบาย: เมื่อ "แสดงบนหน้าจอล็อค" ถูกปิดใช้งานสำหรับโทรศัพท์หรือข้อความ การเปลี่ยนแปลงการกำหนดค่าจะไม่ถูกนำไปปรับใช้ทันที ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7000: William Redwood จาก Hampton School

  • OpenGL

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน OpenGL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5924: Apple

  • ความปลอดภัย

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในตัวถอดรหัส ASN.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7059: David Keeler จาก Mozilla

    CVE-2015-7060: Tyson Smith จาก Mozilla

    CVE-2015-7061: Ryan Sleevi จาก Google

  • ความปลอดภัย

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถบันทึกทับไฟล์ได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหา Double Free ในการจัดการตัวอธิบาย AtomicBufferedFile ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบตัวอธิบาย AtomicBufferedFile ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai และ Sergey Ulanov จาก Chrome Team

  • ความปลอดภัย

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: ผู้โจมตีอาจสามารถทำให้ใบรับรองที่ถูกเพิกถอนไปแล้วกลับมาใช้ได้

    คำอธิบาย: มีปัญหาการตรวจสอบในไคลเอนต์ OCSP ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเวลาหมดอายุของใบรับรอง OCSP

    CVE-ID

    CVE-2015-6999: Apple

  • ความปลอดภัย

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การประเมินความเชื่อถือที่ถูกกำหนดค่าให้ต้องตรวจสอบการเพิกถอนอาจทำได้สำเร็จ แม้ว่าการตรวจสอบการเพิกถอนจะล้มเหลวก็ตาม

    คำอธิบาย: มีการระบุแฟล็ก kSecRevocationRequirePositiveResponse แต่ไม่มีการนำไปใช้งาน ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำแฟล็กไปใช้งาน

    CVE-ID

    CVE-2015-6997: Apple

  • ระบบโทรศัพท์

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: มีปัญหาในการตรวจสอบการอนุญาตสำหรับการสอบถามสถานะการโทรออก ปัญหานี้ได้รับการแก้ไขแล้วโดยการสอบถามสถานะการอนุญาตเพิ่มเติม

    CVE-ID

    CVE-2015-7022: Andreas Kurtz จาก NESO Security Labs

  • WebKit

    มีให้สำหรับ: iPhone 4s ขึ้นไป, iPod touch (รุ่นที่ 5) ขึ้นไป, iPad 2 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: