เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
iOS 11.1
CoreText
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13849: Ro จาก SavSec
เคอร์เนล
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13799: Lufeng Li จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้
คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลขั้นตอนที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการจำกัดอัตรา
CVE-2017-13852: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University
ข้อความ
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจสามารถเข้าถึงรูปภาพจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาหน้าจอล็อคอนุญาตให้เข้าถึงรูปภาพผ่านตอบกลับเป็นข้อความบนอุปกรณ์ที่ล็อคอยู่ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13844: Miguel Alvarado จาก iDeviceHelp INC
Siri
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจสามารถใช้ Siri เพื่ออ่านการแจ้งเตือนของคอนเทนต์ที่มีการตั้งค่าไม่ให้แสดงที่หน้าจอล็อคได้
คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาต Siri ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit), Ayden Panhuyzen (madebyayden.co)
StreamingZip
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: ไฟล์ zip ที่ประสงค์ร้ายอาจสามารถแก้ไขพื้นที่ที่จำกัดไว้ของระบบไฟล์ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-13804: @qwertyoruiopz จาก KJC Research Intl. S.R.L.
UIKit
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: อักขระในช่องข้อความที่มีการรักษาความปลอดภัยอาจถูกเปิดเผย
คำอธิบาย: อักขระในช่องข้อความที่มีการรักษาความปลอดภัยถูกเปิดเผยในระหว่างเหตุการณ์เปลี่ยนจุดสนใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7113: นักวิจัยนิรนาม, Duraiamuthan Harikrishnan จาก Tech Mahindra, Ricardo Sampayo จาก Bemo Ltd
WebKit
มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13783: Ivan Fratric จาก Google Project Zero
CVE-2017-13784: Ivan Fratric จาก Google Project Zero
CVE-2017-13785: Ivan Fratric จาก Google Project Zero
CVE-2017-13791: Ivan Fratric จาก Google Project Zero
CVE-2017-13792: Ivan Fratric จาก Google Project Zero
CVE-2017-13793: Hanul Choi ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-13794: Ivan Fratric จาก Google Project Zero
CVE-2017-13795: Ivan Fratric จาก Google Project Zero
CVE-2017-13796: Ivan Fratric จาก Google Project Zero
CVE-2017-13797: Ivan Fratric จาก Google Project Zero
CVE-2017-13798: Ivan Fratric จาก Google Project Zero
CVE-2017-13788: xisigr จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2017-13802: Ivan Fratric จาก Google Project Zero
CVE-2017-13803: chenqin (陈钦) จาก Ant-financial Light-Year Security
Wi-Fi
มีให้สำหรับ: iPhone 8, iPhone 8 Plus และ iPhone X
ไม่ได้รับผลกระทบ: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air ขึ้นไป และ iPod Touch รุ่นที่ 6
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ยูนิคาสต์ WPA/PTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13077: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
CVE-2017-13078: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
Wi-Fi
มีให้สำหรับ: iPhone 7 ขึ้นไป และ iPad Pro 9.7 นิ้ว (ต้นปี 2016) ขึ้นไป
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม