เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iOS 10.3

เปิดตัวเมื่อวันที่ 27 มีนาคม 2017

บัญชี

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจสามารถดู Apple ID จากหน้าจอล็อคได้

คำอธิบาย: ปัญหาการจัดการการแจ้งเตือนได้รับการแก้ไขแล้วโดยการเอาการแจ้งเตือนการตรวจสอบความถูกต้อง iCloud ออกจากหน้าจอล็อค

CVE-2017-2397: Suprovici Vadim จากทีม UniApps, นักวิจัยไม่ประสงค์ออกนาม

เสียง

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2430: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-2462: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Carbon

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ .dfont ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) จาก Tencent Security Platform Department

CoreGraphics

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการเรียกซํ้านับครั้งไม่ถ้วนได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2417: riusksk (泉哥) จาก Tencent Security Platform Department

CoreGraphics

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2444: Mei Wang จาก 360 GearTeam

CoreText

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2435: John Villamil, Doyensec

CoreText

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2450: John Villamil, Doyensec

CoreText

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2461: Isaac Archambault จาก IDAoADI, นักวิจัยนิรนาม

DataAccess

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การกำหนดค่าบัญชี Exchange ด้วยที่อยู่อีเมลที่พิมพ์ผิดอาจอาจแก้ไขไปยังเซิร์ฟเวอร์ที่ไม่คาดคิด

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการจัดการที่อยู่อีเมล Exchange ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2017-2414: Ilya Nesterov และ Maxim Goncharov

FontParser

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2487: riusksk (泉哥) จาก Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) จาก Tencent Security Platform Department

FontParser

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2407: riusksk (泉哥) จาก Tencent Security Platform Department

FontParser

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2439: John Villamil, Doyensec

HomeKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ส่วนควบคุมบ้านอาจปรากฏขึ้นในศูนย์ควบคุมโดยไม่คาดคิด

คำอธิบาย: มีปัญหาสถานะในการจัดการส่วนควบคุมบ้าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2434: Suyash Narain จาก India

HTTPProtocol

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: เซิร์ฟเวอร์ HTTP/2 ที่ประสงค์ร้ายอาจก่อให้เกิดลักษณะการทำงานที่ไม่สามารถกำหนดได้

คำอธิบาย: มีปัญหาจำนวนมากใน nghttp2 เวอร์ชั่นก่อน 1.17.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท nghttp2 ให้เป็นเวอร์ชั่น 1.17.0

CVE-2017-2428

อัพเดทรายการเมื่อวันที่ 28 มีนาคม 2017

ImageIO

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) จาก KeenLab, Tencent

ImageIO

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2432: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2467

ImageIO

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิด

มีปัญหาการอ่านนอกขอบเขตใน LibTIFF เวอร์ชั่นก่อน 4.0.7 ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท LibTIFF ใน ImageIO ให้เป็นเวอร์ชั่น 4.0.7

CVE-2016-3619

iTunes Store

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถรบกวนการรับส่งข้อมูลบนเครือข่ายของ iTunes ได้

คำอธิบาย: การร้องขอไปที่บริการเว็บ Sandbox ของ iTunes ถูกส่งไปที่ cleartext ปัญหานี้ได้รับการแก้ไขโดยการเปิดใช้งาน HTTPS

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2491: Apple

อัพเดทรายการเมื่อวันที่ 2 พฤษภาคม 2017

JavaScriptCore

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาต้นแบบได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2492: lokihardt จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 24 เมษายน 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2398: Lufeng Li จาก Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li จาก Qihoo 360 Vulcan Team

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2440: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์ระดับราก

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2456: lokihardt จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2472: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2473: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการ Off-by-one ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-2474: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2017-2478: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2482: Ian Beer จาก Google Project Zero

CVE-2017-2483: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับที่สูงขึ้นได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2490: Ian Beer จาก Google Project Zero, The UK's National Cyber Security Centre (NCSC)

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2017

คีย์บอร์ด

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-2458: Shashank (@cyberboyIndia)

พวงกุญแจ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่สามารถดักจับการเชื่อมต่อ TLS อาจสามารถอ่านความลับที่ปกป้องโดยพวงกุญแจ iCloud ได้

คำอธิบาย: ในบางสถานการณ์ พวงกุญแจ iCloud ล้มเหลวในการตรวจสอบความถูกต้องของแพ็คเก็ต OTR ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2448: Alex Radocea จาก Longterm Security, Inc.

อัพเดทรายการเมื่อวันที่ 30 มีนาคม 2017

libarchive

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถเปลี่ยนสิทธิ์อนุญาตของระบบในไดเร็กทอรี่ได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2017-2390: Omer Medan จาก enSilo Ltd

libc++abi

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การซ่อมแซมแอพพลิเคชั่น C++ ที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2441

libxslt

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: มีช่องโหว่จำนวนมากใน libxslt

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-5029: Holger Fuhrmannek

เพิ่มรายการเมื่อวันที่ 28 มีนาคม 2017

เพซบอร์ด

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจเข้าไปอ่านเพซบอร์ด

คำอธิบาย: เพซบอร์ดถูกเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสเพซบอร์ดด้วยคีย์ที่มีการป้องกันโดย UID ของฮาร์ดแวร์และรหัสผ่านของผู้ใช้

CVE-2017-2399

โทรศัพท์

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพของบริษัทอื่นสามารถเริ่มต้นการโทรทางโทรศัพท์โดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ

คำอธิบาย: มีปัญหาในการอนุญาต iOS สำหรับการโทรออกโดยไม่แจ้งเตือน  ปัญหานี้ได้รับการแก้ไขแล้วโดยการแจ้งผู้ใช้ให้ยืนยันการเริ่มต้นการโทร

CVE-2017-2484

โปรไฟล์

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส DES ได้

คำอธิบาย: การรองรับอัลกอริทึมการเข้ารหัส 3DES ถูกเพิ่มลงในไคลเอนต์ SCEP และ DES ไม่ได้รับการรับรอง

CVE-2017-2380: นักวิจัยนิรนาม

Quick Look

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การแตะที่ลิงก์การโทรในเอกสาร PDF อาจเริ่มต้นการโทรโดยไม่แจ้งผู้ใช้

คำอธิบาย: มีปัญหาเมื่อตรวจสอบ URL การโทรก่อนทำการโทร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการแจ้งการยืนยันเพิ่มเติม

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาการจัดการสถานะได้รับการแก้ไขแล้วโดยการปิดใช้งานการป้อนข้อความจนกว่าหน้าปลายทางจะโหลด

CVE-2017-2376: นักวิจัยนิรนาม, Michal Zalewski จาก Google Inc, Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co., Ltd., Chris Hlady จาก Google Inc, นักวิจัยนิรนาม, Yuyang Zhou จาก Tencent Security Platform Department (security.tencent.com)

Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถค้นพบเว็บไซต์ที่ผู้ใช้ได้เยี่ยมชมในการเลือกดูส่วนตัวได้

คำอธิบาย: มีปัญหาในการลบ SQLite ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล้างข้อมูล SQLite ให้ดียิ่งขึ้น

CVE-2017-2384

Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจแสดงแผ่นงานการตรวจสอบความถูกต้องบนเว็บไซต์โดยอำเภอใจ

คำอธิบาย: มีปัญหาการปลอมแปลงและการปฏิเสธการให้บริการในการจัดการการรับรองความถูกต้องของ HTTP ปัญหานี้ได้รับการแก้ไขแล้วผ่านการทำให้แผ่นงานการตรวจสอบความถูกต้อง HTTP ไม่เคลื่อนที่

CVE-2017-2389: ShenYeYinJiu จาก Tencent Security Response Center, TSRC

Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายโดยคลิกที่ลิงก์ อาจนำไปสู่การปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: มีปัญหาการปลอมแปลงในการจัดการการแจ้ง FaceTime ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2017-2453: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

ตัวอ่าน Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-2393: Erling Ellingsen

SafariViewController

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: สถานะแคชมีการซิงค์ระหว่าง Safari และ SafariViewController อย่างไม่เหมาะสมเมื่อผู้ใช้ล้างแคช Safari

คำอธิบาย: มีปัญหาในการล้างข้อมูลแคช Safari จาก SafariViewController  ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะแคชให้ดียิ่งขึ้น

CVE-2017-2400: Abhinav Bansal จาก Zscaler, Inc.

โปรไฟล์ Sandbox

มีให้สำหรับ: iPhone 5 ขึ้นไป, iPad รุ่นที่ 4 ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเข้าถึงบันทึกของผู้ใช้ iCloud ของผู้ใช้ที่ลงชื่อเข้าใช้เอาไว้

คำอธิบาย: ปัญหาในการเข้าถึงได้รับการแก้ไขแล้วโดยการจำกัด Sandbox เพิ่มเติมในแอพพลิเคชั่นของผู้ให้บริการรายอื่น

CVE-2017-6976: George Dan (@theninjaprawn)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2017

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การตรวจสอบลายเซ็นว่างเปล่าด้วย SecKeyRawVerify() อาจประสบความสำเร็จโดยไม่คาดคิด

คำอธิบาย: มีปัญหาในการตรวจสอบด้วยการเรียก API ยืนยันการเข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบพารามิเตอร์ให้ดียิ่งขึ้น

CVE-2017-2423: นักวิจัยนิรนาม

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรากได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-2451: Alex Radocea จาก Longterm Security, Inc.

ความปลอดภัย

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลใบรับรอง x509 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ใบรับรอง ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2017-2485: Aleksandar Nikolic จาก Cisco Talos

Siri

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: Siri อาจแสดงเนื้อหาข้อความตัวอักษรในขณะที่อุปกรณ์ล็อคอยู่

คำอธิบาย: ปัญหาการล็อคไม่เพียงพอได้รับการจัดการแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2452: Hunter Byrnes

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การลากแล้ววางลิงก์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบในการสร้างที่คั่นหน้า ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2017-2378: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาการอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2486: redrain จาก light4freedom

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: ปัญหาการเข้าถึงต้นแบบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการข้อยกเว้นให้ดียิ่งขึ้น

CVE-2017-2386: André Bargull

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric จาก Google Project Zero, Zheng Huang จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-2455: Ivan Fratric จาก Google Project Zero

CVE-2017-2457: lokihardt จาก Google Project Zero

CVE-2017-2459: Ivan Fratric จาก Google Project Zero

CVE-2017-2460: Ivan Fratric จาก Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich จาก Google Project Zero

CVE-2017-2465: Zheng Huang และ Wei Yuan จาก Baidu Security Lab

CVE-2017-2466: Ivan Fratric จาก Google Project Zero

CVE-2017-2468: lokihardt จาก Google Project Zero

CVE-2017-2469: lokihardt จาก Google Project Zero

CVE-2017-2470: lokihardt จาก Google Project Zero

CVE-2017-2476: Ivan Fratric จาก Google Project Zero

CVE-2017-2481: 0011 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 20 มิถุนายน 2017

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2415: Kai Kang จาก Tencent's Xuanwu Lab (tentcent.com)

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการยกเลิกการบังคับใช้นโยบายความปลอดภัยคอนเทนต์โดยไม่คาดคิด

คำอธิบาย: มีปัญหาการเข้าถึงในนโยบายความปลอดภัยคอนเทนต์  ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2017-2419: Nicolai Grødum จาก Cisco Systems

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้หน่วยความจำปริมาณสูงได้

คำอธิบาย: ปัญหาการใช้งานทรัพยากรที่ไม่สามารถควบคุมได้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการประมวลผล regex ให้ดียิ่งขึ้น

CVE-2016-9643: Gustavo Grieco

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการประมวลผลขุดคำสั่งซอฟต์แวร์ OpenGL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2424: Paul Thomson (ใช้เครื่องมือ GLFuzz) จาก Multicore Programming Group, Imperial College London

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2433: Apple

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบในการจัดการการโหลดหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2364: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการการโหลดหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2367: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการวัตถุเฟรม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2445: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาตรรกะในการจัดการฟังก์ชั่นโหมดการจำกัด ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2446: Natalie Silvanovich จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2447: Natalie Silvanovich จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2463: Kai Kang (4B5F5F4B) จาก Tencent's Xuanwu Lab (tencent.com) ซึ่งทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 28 มีนาคม 2017

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2471: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการเฟรม ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2475: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการองค์ประกอบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2479: lokihardt จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 28 มีนาคม 2017

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการองค์ประกอบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2480: lokihardt จาก Google Project Zero

CVE-2017-2493: lokihardt จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 24 เมษายน 2017

WebKit JavaScript Bindings

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบในการจัดการการโหลดหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2442: lokihardt จาก Google Project Zero

WebKit Web Inspector

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การปิดหน้าต่างในขณะหยุดพักตัวแก้ไขข้อบกพร่องอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า, iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2405: Apple

คำขอบคุณพิเศษ

XNU

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lufeng Li จาก Qihoo 360 Vulcan Team

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yosuke HASEGAWA จาก Secure Sky Technology Inc.

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Flyin9 (ZhenHui Lee)

การตั้งค่า

เราขอขอบคุณสำหรับความช่วยเหลือจาก Adi Sharabani และ Yair Amit จาก Skycure

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: