เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11.3.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 11.3.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iOS 11.3.1

Crash Reporter

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2018-4206: Ian Beer จาก Google Project Zero

LinkPresentation

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI

คำอธิบาย: มีปัญหาการปลอมแปลงในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4187: Zhiyang Zeng (@Wester) จาก Tencent Security Platform Department, Roman Mueller (@faker_)

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4200: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4204: Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro ซึ่งพบโดย OSS-Fuzz