เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 12.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 12.4

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 12.4

เปิดตัวเมื่อวันที่ 22 กรกฎาคม 2019

Core Data

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8646: Natalie Silvanovich จาก Google Project Zero

Core Data

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8647: Samuel Groß และ Natalie Silvanovich จาก Google Project Zero

Core Data

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8660: Samuel Groß และ Natalie Silvanovich จาก Google Project Zero

FaceTime

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8648: Tao Huang และ Tielei Wang จาก Team Pangu

พบในแอพ

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8663: Natalie Silvanovich จาก Google Project Zero

Foundation

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8641: Samuel Groß และ Natalie Silvanovich จาก Google Project Zero

Heimdal

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: มีปัญหาใน Samba ที่อาจอนุญาตให้ผู้โจมตีกระทำสิ่งที่ไม่ได้รับอนุญาตด้วยการดักจับการสื่อสารระหว่างบริการต่างๆ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้นเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2018-16860: Isaac Boukris และ Andrew Bartlett จาก Samba Team และ Catalyst

libxslt

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถดูข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: อาการล้นทับกันได้รับการแก้ไขแล้วด้วยการตรวจสอบอินพุตที่ดีขึ้น

CVE-2019-13118: ค้นพบโดย OSS-Fuzz

ข้อความ

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิด

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8665: Michael Hernandez จาก XYZ Marketing

โปรไฟล์

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถจำกัดการเข้าถึงไปยังเว็บไซต์ได้

คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น

CVE-2019-8698: Luke Deshotels, Jordan Beichler และ William Enck จาก North Carolina State University; Costin Carabaș และ Răzvan Deaconescu จาก University POLITEHNICA of Bucharest

Quick Look

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถสั่งการ Use-after-free ในแอพพลิเคชั่นซึ่งยกเลิกสร้างหมายเลขให้กับ NSDictionary ที่ไม่ไว้วางใจได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8662: Natalie Silvanovich และ Samuel Groß จาก Google Project Zero

Siri

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8646: Natalie Silvanovich จาก Google Project Zero

ระบบโทรศัพท์

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ที่โทรเข้ามาอาจสามารถทำให้ผู้รับสายตอบรับการเชื่อมต่อวอล์คกี้ทอล์คกี้ที่ติดต่อเข้ามาพร้อมกัน

คำอธิบาย: มีปัญหาตรรกะในการรับสายโทร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8699: Marius Alexandru Boeru (@mboeru) และนักวิจัยนิรนาม

UIFoundation

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8657: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Wallet

มีให้สำหรับ: iPhone 5s และใหม่กว่า, iPad Air และใหม่กว่า และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจทำการซื้อภายในแอพโดยไม่ตั้งใจได้ระหว่างอยู่ที่หน้าจอล็อค

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการการโหลดเอกสาร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8690: Sergei Glazunov จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการการโหลดหน้าพร้อมกัน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8649: Sergei Glazunov จาก Google Project Zero

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8658: akayn ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: iPhone 5s ขึ้นไป, iPad Air ขึ้นไป และ iPod touch รุ่นที่ 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8644: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8666: Zongming Wang (王宗明) และ Zhe Jin (金哲) จาก Chengdu Security Response Center จาก Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß จาก Google Project Zero

CVE-2019-8673: Soyeon Park และ Wen Xu จาก SSLab ที่ Georgia Tech

CVE-2019-8676: Soyeon Park และ Wen Xu จาก SSLab ที่ Georgia Tech

CVE-2019-8677: Jihui Lu จาก Tencent KeenLab

CVE-2019-8678: นักวิจัยนิรนาม, Anthony Lai (@darkfloyd1014) จาก Knownsec, Ken Wong (@wwkenwong) จาก VXRL, Jeonghoon Shin (@singi21a) จาก Theori, Johnny Yu (@straight_blast) จาก VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) จาก VX Browser Exploitation Group, Phil Mok (@shadyhamsters) จาก VX Browser Exploitation Group, Alan Ho (@alan_h0) จาก Knownsec, Byron Wai จาก VX Browser Exploitation

CVE-2019-8679: Jihui Lu จาก Tencent KeenLab

CVE-2019-8680: Jihui Lu จาก Tencent KeenLab

CVE-2019-8681: G. Geshev ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2019-8683: lokihardt จาก Google Project Zero

CVE-2019-8684: lokihardt จาก Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech, Ken Wong (@wwkenwong) จาก VXRL, Anthony Lai (@darkfloyd1014) จาก VXRL และ Eric Lung (@Khlung1) จาก VXRL

CVE-2019-8686: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun จาก SSLab ที่ Georgia Tech

CVE-2019-8689: lokihardt จาก Google Project Zero

คำขอบคุณพิเศษ

Game Center

เราขอขอบคุณสำหรับความช่วยเหลือจาก Min (Spark) Zheng และ Xiaolong Bai จาก Alibaba Inc.

MobileInstallation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dany Lisiansky (@DanyL931)

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: