เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.3.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 10.3.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iOS 10.3.3

เปิดตัวเมื่อวันที่ 19 กรกฎาคม 2017

รายชื่อ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7008: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team

EventKitUI

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิด

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7007: José Antonio Esteban (@Erratum_) จาก Sapsi Consultores

IOUSBFamily

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7009: shrek_wzw จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

CVE-2017-7022: นักวิจัยนิรนาม

CVE-2017-7024: นักวิจัยนิรนาม

CVE-2017-7026: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

CVE-2017-7023: นักวิจัยนิรนาม

CVE-2017-7025: นักวิจัยนิรนาม

CVE-2017-7027: นักวิจัยนิรนาม

CVE-2017-7069: Proteas จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7028: นักวิจัยนิรนาม

CVE-2017-7029: นักวิจัยนิรนาม

libarchive

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7068: ค้นพบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7010: Apple

CVE-2017-7013: ค้นพบโดย OSS-Fuzz

libxpc

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

CVE-2017-7047: Ian Beer จาก Google Project Zero

ข้อความ

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิด

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7063: Shashank (@cyberboyIndia)

การแจ้งเตือน

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การแจ้งเตือนอาจปรากฏบนหน้าจอล็อคขณะปิดใช้งาน

คำอธิบาย: ปัญหาหน้าจอล็อคได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7058: Beyza Sevinç จาก Süleyman Demirel Üniversitesi

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2017

Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-2517: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

การพิมพ์ Safari

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้กล่องโต้ตอบการพิมพ์มีจำนวนนับไม่ถ้วน

คำอธิบาย: มีปัญหาเกี่ยวกับเว็บไซต์ที่ประสงค์ร้ายหรือมีความเสี่ยงที่อาจแสดงกล่องโต้ตอบการพิมพ์จำนวนนับไม่ถ้วน และทำให้ผู้ใช้เชื่อว่าเบราเซอร์ของตนถูกล็อค ปัญหานี้ได้รับการแก้ไขแล้วผ่านการควบคุมจำนวนกล่องโต้ตอบการพิมพ์

CVE-2017-7060: Travis Kelley จาก City of Mishawaka, อินเดียนา

ระบบโทรศัพท์

มีให้สำหรับ: iPhone 5 และใหม่กว่า และรุ่น Wi-Fi + Cellular ของ iPad รุ่นที่ 4 และใหม่กว่า

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

CVE-2017-8248

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจอนุญาตให้มีการลักลอบถอนข้อมูลข้ามต้นทางโดยใช้ตัวกรอง SVG เพื่อดำเนินการโจมตีโดยอาศัยผลข้างเคียงด้านระยะเวลา ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ระบายสีบัฟเฟอร์ข้ามต้นทางลงในเฟรมที่ถูกกรอง

CVE-2017-7006: นักวิจัยนิรนาม David Kohlbrenner จาก UC San Diego

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

คำอธิบาย: ปัญหาการจัดการสถานะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเฟรมให้ดียิ่งขึ้น

CVE-2017-7011: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7018: lokihardt จาก Google Project Zero

CVE-2017-7020: likemeng จาก Baidu Security Lab

CVE-2017-7030: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt จาก Google Project Zero

CVE-2017-7039: Ivan Fratric จาก Google Project Zero

CVE-2017-7040: Ivan Fratric จาก Google Project Zero

CVE-2017-7041: Ivan Fratric จาก Google Project Zero

CVE-2017-7042: Ivan Fratric จาก Google Project Zero

CVE-2017-7043: Ivan Fratric จาก Google Project Zero

CVE-2017-7046: Ivan Fratric จาก Google Project Zero

CVE-2017-7048: Ivan Fratric จาก Google Project Zero

CVE-2017-7052: cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7055: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

CVE-2017-7056: lokihardt จาก Google Project Zero

CVE-2017-7061: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายโดยใช้ DOMParser อาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น (Cross-site Scripting)

คำอธิบาย: มีปัญหาตรรกะในการจัดการ DOMParser ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) จาก Digital Security และ Egor Saltykov (@ansjdnakjdnajkd) จาก Digital Security, Neil Jenkins จาก FastMail Pty Ltd

CVE-2017-7059: Masato Kinugawa และ Mario Heiderich จาก Cure53

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2017

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7049: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7064: lokihardt จาก Google Project Zero

การโหลดหน้า WebKit

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

CVE-2017-7019: Zhiyang Zeng จาก Tencent Security Platform Department

WebKit Web Inspector

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

CVE-2017-7012: Apple

Wi-Fi

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi

CVE-2017-7065: Gal Beniamini จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

Wi-Fi

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีที่อยู่ในระยะสัญญาณ Wi-Fi อาจสามารถทำให้เกิดการปฏิเสธการให้บริการบนชิพ Wi-Fi

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7066: Gal Beniamini จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 26 กันยายน 2017

Wi-Fi

มีให้สำหรับ: iPhone 5 และใหม่กว่า, iPad รุ่นที่ 4 และใหม่กว่า และ iPod touch รุ่นที่ 6

CVE-2017-9417: Nitay Artenstein จาก Exodus Intelligence

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 6 พฤศจิกายน 2566