เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iOS 11

เปิดตัวเมื่อวันที่ 19 กันยายน 2017

802.1X

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนใน TLS 1.0 ได้

คำอธิบาย: ปัญหาความปลอดภัยของโปรโตคอลได้รับการแก้ไขแล้วโดยการเปิดใช้งาน TLS 1.1 และ TLS 1.2

CVE-2017-13832: Doug Wussler จาก Florida State University

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

บลูทูธ

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: มีปัญหาเกี่ยวกับความเป็นส่วนตัวในการจัดการบัตรรายชื่อ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7131: Dominik Conrads จาก Federal Office for Information Security, นักวิจัยนิรนาม, Anand Kathapurkar จากอินเดีย, Elvis (@elvisimprsntr)

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

CFNetwork

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro 

CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

CFNetwork Proxies

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7083: Abhinav Bansal จาก Zscaler Inc.

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

CFString

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

CoreAudio

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วโดยการอัพเดทเป็น Opus เวอร์ชั่น 1.1.4

CVE-2017-0381: V.E.O (@VYSEa) จาก Mobile Threat Research Team, Trend Micro

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

CoreText

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Exchange ActiveSync

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจลบข้อมูลอุปกรณ์ในระหว่างตั้งค่าบัญชี Exchange

คำอธิบาย: มีปัญหาการตรวจสอบใน AutoDiscover V1  ปัญหานี้ได้รับการแก้ไขแล้วผ่านการร้องขอ TLS สำหรับ AutoDiscover V1 ระบบรองรับ AutoDiscover V2 แล้วในขณะนี้

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

ไฟล์

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: มีปัญหาจำนวนมากใน file

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.31

CVE-2017-13815

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

แบบอักษร

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การแสดงข้อความที่ไม่น่าเชื่อถืออาจทำให้เกิดการปลอมแปลง

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13828: Leonard Grey และ Robert Sesek จาก Google Chrome

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

Heimdal

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมบริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการชื่อบริการ KDC-REP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni และ Nico Williams

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

HFS

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13830: Sergej Schumilo จาก Ruhr-University Bochum

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

iBooks

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการปฏิเสธบริการอย่างต่อเนื่อง

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

ImageIO

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการประมวลผลภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13831: Glen Carmichael

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7114: Alex Plaskett จาก MWR InfoSecurity

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13817: Maxime Villard (m00nbsd)

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13818: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

CVE-2017-13836: นักวิจัยนิรนามและนักวิจัยนิรนาม

CVE-2017-13841: นักวิจัยนิรนาม

CVE-2017-13840: นักวิจัยนิรนาม

CVE-2017-13842: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 14 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13843: นักวิจัยนิรนามและนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13854: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 2 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลไบนารี่ mach ที่ผิดรูปอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-13834: Maxime Villard (m00nbsd)

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

การเสนอคำของคีย์บอร์ด

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การเสนอคำที่แก้ไขอัตโนมัติของคีย์บอร์ดอาจเปิดเผยข้อมูลสำคัญ

คำอธิบาย: คีย์บอร์ด iOS จะแคชข้อมูลสำคัญโดยไม่ตั้งใจ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการวิเคราะห์พฤติกรรมให้ดียิ่งขึ้น

CVE-2017-7140: Agim Allkanjari จาก Stream in Motion Inc.

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

libarchive

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13813: พบโดย OSS-Fuzz

CVE-2017-13816: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libarchive

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13812: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libc

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงใน glob() ได้รับการแก้ไขแล้วผ่านการปรับปรุงอัลกอริทึมให้ดียิ่งขึ้น

CVE-2017-7086: Russ Cox จาก Google

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

libc

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-1000373

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

libexpat

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: มีปัญหาจำนวนมากใน Expat

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.2.1

CVE-2016-9063

CVE-2017-9233

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

เฟรมเวิร์กตำแหน่งที่ตั้ง

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรด้านตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติมเกี่ยวกับสถานะความเป็นเจ้าของ

CVE-2017-7148: Igor Makarov จาก Moovit, Will McGinty และ Shawnna Rodriguez จาก Bottle Rocket Studios

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

เมลฉบับร่าง

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์เมลได้

คำอธิบาย: มีปัญหาการเข้ารหัสในการจัดการเมลฉบับร่าง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเมลฉบับร่างให้ดียิ่งขึ้น ซึ่งจะถูกส่งแบบเข้ารหัส

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE จาก Marseille (France), นักวิจัยนิรนาม

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

MessageUI ของเมล

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7097: Xinshu Dong และ Jun Hao Tan จาก Anquan Capital

ข้อความ

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7118: Kiki Jiang และ Jason Tokoph

MobileBackup

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การสำรองข้อมูลอาจดำเนินการโดยไม่มีการเข้ารหัสแม้จะมีการร้องขอให้สำรองข้อมูลโดยเข้ารหัสเท่านั้น

คำอธิบาย: มีปัญหาสิทธิ์อนุญาต ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2017-7133: Don Sparks จาก HackediOS.com

หมายเหตุ

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: คอนเทนต์ของโน้ตที่ล็อคอยู่อาจปรากฏในผลการค้นหาเป็นบางครั้ง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล้างข้อมูลให้ดียิ่งขึ้น

CVE-2017-7075: Richard Will จาก Marathon Oil Company

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

โทรศัพท์

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ภาพถ่ายหน้าจอของคอนเทนต์ด้านความปลอดภัยอาจถูกถ่ายเมื่อล็อคอุปกรณ์ iOS

คำอธิบาย: มีปัญหาเกี่ยวกับเวลาในการจัดการการล็อค ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปิดใช้งานภาพถ่ายหน้าจอเมื่อล็อคอุปกรณ์

CVE-2017-7139: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

โปรไฟล์

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: บันทึกการจับคู่อุปกรณ์อาจถูกติดตั้งบนอุปกรณ์โดยไม่ตั้งใจเมื่อโปรไฟล์ที่ไม่อนุญาตการจับคู่ถูกติดตั้ง

คำอธิบาย: การจับคู่ไม่ถูกลบออกเมื่อโปรไฟล์ที่ไม่อนุญาตการจับคู่ถูกติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบการจับคู่ที่ขัดแย้งกับโปรไฟล์การกำหนดค่า

CVE-2017-13806: Rorie Hood จาก MWR InfoSecurity

เพิ่มรายการเมื่อวันที่ 2 พฤศจิกายน 2017

Quick Look

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Quick Look

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Safari

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7085: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

ความปลอดภัย

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ใบรับรองที่ถูกเพิกถอนแล้วอาจได้รับการเชื่อถือ

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการข้อมูลการเพิกถอน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7080: นักวิจัยนิรนาม, นักวิจัยนิรนาม, Sven Driemecker จาก adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) จาก Bærum kommune

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

ความปลอดภัย

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ได้ระหว่างการติดตั้ง

คำอธิบาย: มีปัญหาการตรวจสอบสิทธิ์อนุญาตในการจัดการข้อมูลพวงกุญแจของแอพ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตที่ปรับปรุงให้ดียิ่งขึ้น

CVE-2017-7146: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

SQLite

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: มีปัญหาจำนวนมากใน SQLite

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.19.3

CVE-2017-10989: พบโดย OSS-Fuzz

CVE-2017-7128: พบโดย OSS-Fuzz

CVE-2017-7129: พบโดย OSS-Fuzz

CVE-2017-7130: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

SQLite

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7127: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

เวลา

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: "ตั้งค่าเขตเวลา" อาจระบุว่ากำลังใช้ตำแหน่งที่ตั้งอยู่อย่างไม่ถูกต้อง

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในกระบวนการที่จัดการข้อมูลเขตเวลา ปัญหานี้ได้รับการแก้ไขแล้วด้วยการแก้ไขสิทธิ์อนุญาต

CVE-2017-7145: Chris Lawrence

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7081: Apple

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7092: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Qixun Zhao (@S0rryMybad) จาก Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) จาก Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7096: Wei Yuan จาก Baidu Security Lab

CVE-2017-7098: Felipe Freitas จาก Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa และ Mario Heiderich จาก Cure53

CVE-2017-7102: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7104: likemeng จาก Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7111: likemeng จาก Baidu Security Lab (xlab.baidu.com) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7117: lokihardt จาก Google Project Zero

CVE-2017-7120: chenqin (陈钦) จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการแท็บหลัก ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7089: Anton Lopanitsyn จาก ONSEC, Frans Rosén จาก Detectify

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ส่งคืนคุกกี้สำหรับรูปแบบ URL ที่กำหนดเองอีกต่อไป

CVE-2017-7090: Apple

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7106: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: นโยบายการแคชแอพพลิเคชั่นอาจมีการปรับใช้อย่างไม่คาดคิด

CVE-2017-7109: avlidienbrunn

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดการเลือกชมแบบส่วนตัวของ Safari ได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2017-7144: Mohammad Ghasemisharif จาก BITS Lab ของ UIC

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

WebKit Storage

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ข้อมูลเว็บไซต์อาจยังคงอยู่หลังจากเซสชั่นการเลือกชมเว็บส่วนตัวของ Safari สิ้นสุด

คำอธิบาย: มีปัญหาการรั่วไหลของข้อมูลในการจัดการข้อมูลเว็บไซต์ในหน้าต่างส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อมูลให้ดียิ่งขึ้น

CVE-2017-7142: Rich Shawn O’Connell, นักวิจัยนิรนาม, นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

Wi-Fi

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-11120: Gal Beniamini จาก Google Project Zero

CVE-2017-11121: Gal Beniamini จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

Wi-Fi

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: รหัสประสงค์ร้ายที่ใช้งานบนชิป Wi-Fi อาจใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจบนหน่วยประมวลผลของแอพพลิเคชั่น

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7103: Gal Beniamini จาก Google Project Zero

CVE-2017-7105: Gal Beniamini จาก Google Project Zero

CVE-2017-7108: Gal Beniamini จาก Google Project Zero

CVE-2017-7110: Gal Beniamini จาก Google Project Zero

CVE-2017-7112: Gal Beniamini จาก Google Project Zero

Wi-Fi

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: รหัสประสงค์ร้ายที่ใช้งานบนชิป Wi-Fi อาจใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจบนหน่วยประมวลผลของแอพพลิเคชั่น

คำอธิบาย: ปัญหาสภาวะการแข่งขันหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7115: Gal Beniamini จาก Google Project Zero

Wi-Fi

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: รหัสประสงค์ร้ายที่ใช้งานบนชิป Wi-Fi อาจสามารถอ่านหน่วยความจำเคอร์เนลที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7116: Gal Beniamini จาก Google Project Zero

Wi-Fi

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้จากชิปเซ็ต Wi-Fi

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-11122: Gal Beniamini จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 2 ตุลาคม 2017

zlib

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: มีปัญหาจำนวนมากใน zlib

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 1.2.11

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

คำขอบคุณพิเศษ

LaunchServices

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mark Zimmermann จาก EnBW Energie Baden-Württemberg AG

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Bansal จาก Zscaler, Inc.

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter

WebKit Web Inspector

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ioan Bizău จาก Bloggify

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: