เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.2

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ iOS 10.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iOS 10.2

เปิดตัวเมื่อวันที่ 12 ธันวาคม 2016

การช่วยการเข้าถึง

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้ในบริเวณใกล้เคียงอาจได้ยินเสียงพูดรหัสผ่าน

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการจัดการกับรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการพูดรหัสผ่าน

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

อัพเดทรายการเมื่อวันที่ 10 มกราคม 2017

การช่วยการเข้าถึง

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้ อาจสามารถเข้าถึงรูปภาพและรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหาหน้าจอล็อคอนุญาตให้เข้าถึงรูปภาพและรายชื่อในอุปกรณ์ที่ล็อคอยู่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2016-7664: Miguel Alvarado จาก iDeviceHelp

บัญชี

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: มีปัญหาที่ทำให้ไม่สามารถรีเซ็ตการตั้งค่าการอนุมัติขณะถอนการติดตั้งแอพได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7651: Ju Zhu และ Lilang Wu จาก Trend Micro

เสียง

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7658: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent

CVE-2016-7659: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

คลิปบอร์ด

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจเข้าถึงคอนเทนต์ของคลิปบอร์ดได้ 

คำอธิบาย: คอนเทนต์ของคลิปบอร์ดสามารถเข้าถึงได้ก่อนการปลดล็อคอุปกรณ์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น 

CVE-2016-7765: CongRong (@Tr3jer)

อัพเดทรายการเมื่อวันที่ 17 มกราคม 2017

CoreFoundation

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลสตริงที่ประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลสตริง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7663: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

CoreGraphics

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

จอแสดงผลภายนอกของ CoreMedia

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสในบริบทของ mediaserver daemon ได้โดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7655: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

CoreMedia Playback

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ .mp4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7588: dragonltx จาก Huawei 2012 Laboratories

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

CoreText

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7595: riusksk (泉哥) จาก Tencent Security Platform Department

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

CoreText

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาในขณะเรนเดอร์ช่วงสัญญาณที่ซ้อนทับกันได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) จาก Digital Unit (dgunit.com)

เพิ่มรายการเมื่อวันที่ 15 ธันวาคม 2016

ภาพดิสก์

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7616: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ค้นหา iPhone ของฉัน

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่มีอุปกรณ์ที่ปลดล็อคแล้วอาจปิดใช้งาน "ค้นหา iPhone ของฉัน" ได้

คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการข้อมูลการตรวจสอบความถูกต้อง  ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดเก็บข้อมูลบัญชีให้ดียิ่งขึ้น

CVE-2016-7638: นักวิจัยนิรนาม, Sezer Sakiner

FontParser

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4691: riusksk (泉哥) จาก Tencent Security Platform Department

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ไดรเวอร์กราฟิก

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การดูวิดีโอที่สร้างขึ้นโดยมีประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการปฏิเสธการให้บริการในการจัดการวิดีโอ ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-7665: Moataz El Gaml จาก Schlumberger, Daniel Schurter จาก watson.ch และ Marc Ruef จาก scip AG

อัพเดทรายการเมื่อวันที่ 15 ธันวาคม 2016

ICU

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7594: André Bargull

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ตัวจับภาพ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: อุปกรณ์ HID ที่เป็นอันตรายอาจเป็นสาเหตุของการเรียกใช้รหัสโดยพลการ

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการอุปกรณ์อิมเมจ USB ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-4690: Andy Davis จาก NCC Group

ImageIO

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7643: Yangkang (@dnpushme) จาก Qihoo360 Qex Team

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

IOHIDFamily

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7591: daybreaker จาก Minionz

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

IOKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7657: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

IOKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7714: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 25 มกราคม 2017

JavaScriptCore

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การใช้งานสคริปต์ใน Sandbox ของ JavaScript อาจสามารถเข้าถึงสถานะภายนอก Sandbox ดังกล่าวได้

คำอธิบาย: มีปัญหาการตรวจสอบในการประมวลผล JavaScript ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4695: Mark S. Miller จาก Google

เพิ่มรายการเมื่อวันที่ 16 สิงหาคม 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ 

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7606: @cocoahuke, Chen Qin จาก Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเตรียมใช้งานที่ไม่เพียงพอได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำอย่างถูกต้องกลับไปที่ User Space

CVE-2016-7607: Brandon Azad

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7615: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7621: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7637: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7644: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

เคอร์เนล

มีให้สำหรับ: iPhone 5 ขึ้นไป, iPad รุ่นที่ 4 ขึ้นไป, iPod touch รุ่นที่ 6 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7647: Lufeng Li จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

เคอร์เนล

มีให้สำหรับ:  iPhone 5 ขึ้นไป, iPad รุ่นที่ 4 ขึ้นไป, iPod touch รุ่นที่ 6 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถเข้าถึงที่อยู่ MAC ของอุปกรณ์

คำอธิบาย: ปัญหาในการเข้าถึงได้รับการแก้ไขแล้วโดยการจำกัด Sandbox เพิ่มเติมในแอพพลิเคชั่นของผู้ให้บริการรายอื่น

CVE-2016-7766: Jun Yang(杨君) จาก Tencent's WeiXin Group

เพิ่มรายการเมื่อวันที่ 31 พฤษภาคม 2017

libarchive

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถเขียนทับไฟล์ที่มีอยู่แล้วได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2016-7619: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

การตรวจสอบความถูกต้องในระบบ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: อุปกรณ์อาจไม่ล็อคหน้าจอหลังจากไม่ได้ใช้งานเป็นระยะเวลาหนึ่ง

คำอธิบาย: มีปัญหาตรรกะในการจัดการกับตัวจับเวลาระหว่างที่ไม่ได้ใช้งาน ขณะที่พร้อมท์ Touch ID แสดงอยู่ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการกับตัวจับเวลาระหว่างที่ไม่ได้ใช้งานให้ดียิ่งขึ้น

CVE-2016-7601: นักวิจัยนิรนาม

เมล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: อีเมลที่เซ็นด้วยใบรับรองที่ถูกเพิกถอนแล้วอาจแสดงเป็นอีเมลที่ถูกต้อง

คำอธิบาย: นโยบาย S/MIME ล้มเหลวในการตรวจสอบว่าใบรับรองถูกต้องหรือไม่  ปัญหานี้ได้รับการแก้ไขแล้วโดยการแจ้งเตือนผู้ใช้หากอีเมลมีการเซ็นด้วยใบรับรองที่ถูกเพิกถอนแล้ว

CVE-2016-4689: นักวิจัยนิรนาม

โปรแกรมเล่นสื่อ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจดูรูปภาพหรือรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการการเลือกสื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7653

การจัดการพลังงาน

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7661: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

โปรไฟล์

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเปิดใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการโปรไฟล์ใบรับรอง ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

ตัวอ่าน Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2016-7650: Erling Ellingsen

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส 3DES ได้

คำอธิบาย: 3DES ถูกลบออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว

CVE-2016-4693: Gaëtan Leurent และ Karthikeyan Bhargavan จาก INRIA Paris

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการของ URL ตัวตอบสนองของ OCSP ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะการเพิกถอน OCSP หลังจากตรวจสอบ CA และจำกัดจำนวนคำขอ OCSP ต่อใบรับรองหนึ่งใบแล้ว

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ใบรับรองอาจได้รับการประเมินว่าเชื่อถือได้โดยไม่คาดคิด

คำอธิบาย: มีปัญหาการประเมินใบรับรองในการตรวจสอบใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบใบรับรองเพิ่มเติม

CVE-2016-7662: Apple

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

SpringBoard

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: บุคคลที่สามารถเข้าถึงอุปกรณ์ iOS อาจปลดล็อคอุปกรณ์ได้

คำอธิบาย: ในบางกรณี ปัญหาในการป้องกันอาจเกิดขึ้นขณะที่ระบบจัดการกับการป้อนรหัสผ่านเมื่อรีเซ็ตรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-4781: นักวิจัยนิรนาม

SpringBoard

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: บุคคลที่สามารถเข้าถึงอุปกรณ์ iOS อาจทำให้อุปกรณ์ปลดล็อคอยู่เสมอ

คำอธิบาย: มีปัญหาการล้างข้อมูลในการจัดการกับ Handoff ด้วย Siri  ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7597: นักวิจัยนิรนาม

syslog

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7660: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4743: Alan Cutter

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7586: Boris Zbarsky

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-7611: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-7639: Tongbo Luo จาก Palo Alto Networks

CVE-2016-7640: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7641: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7642: Tongbo Luo จาก Palo Alto Networks

CVE-2016-7645: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7646: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7648: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7649: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7654: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาในการจัดการพร้อมท์ JavaScript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7592: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7598: Samuel Groß

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: มีปัญหาในการจัดการการเปลี่ยนเส้นทางของ HTTP ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบแบบข้ามต้นทางให้ดียิ่งขึ้น

CVE-2016-7599: Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co., Ltd.

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาในการจัดการ Blob URL  ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

CVE-2016-7623: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7632: Jeonghoon Shin

เพิ่มรายการเมื่อวันที่ 13 ธันวาคม 2016

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: มีปัญหาในการแสดงเอกสารใน Safari ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-7762: YongShao (Zhiyong Feng จาก JDSEC 1aq.com‍)

เพิ่มรายการเมื่อวันที่ 24 มกราคม 2017

WebSheet

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาการหลบหนี Sandbox ได้รับการแก้ไขแล้วผ่านการจำกัดเพิ่มเติม

CVE-2016-7630: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab) Tencent ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 25 มกราคม 2017

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: