เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 13.1 และ iPadOS 13.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 13.1 และ iPadOS 13.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 13.1 และ iPadOS 13.1
iOS 13.1 และ iPadOS 13.1 มีเนื้อหาความปลอดภัยของ iOS 13
AppleFirmwareUpdateKext
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8747: Mohamed Ghannam (@_simo36)
เสียง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab
เสียง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
หนังสือ
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการปฏิเสธบริการอย่างต่อเนื่อง
คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8774: Gertjan Franken imec-DistriNet จาก KU Leuven
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8740: Mohamed Ghannam (@_simo36)
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพเฉพาะที่อาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8809: Apple
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2019-8780: Siguza
libxslt
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: มีปัญหาหลายประการใน libxslt
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8750: พบโดย OSS-Fuzz
mDNSResponder
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงทางกายภาพอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม
CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
คำสั่งลัด
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถสกัดกั้นการรับส่งข้อมูล SSH จากการกระทำ "เรียกใช้สคริปต์ผ่าน SSH"
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการยืนยันคีย์โฮสต์เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ SSH ที่รู้จักอยู่ก่อนหน้า
CVE-2019-8901: นักวิจัยนิรนาม
UIFoundation
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
VoiceOver
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์ iOS อาจเข้าถึงรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2019-8775: videosdebarraquito
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาให้เป็นอันตรายอาจเปิดเผยประวัติการเยี่ยมชม
คำอธิบาย: มีปัญหาในการดึงองค์ประกอบหน้าเว็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8710: พบโดย OSS-Fuzz
CVE-2019-8743: zhunki จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8763: Sergei Glazunov จาก Google Project Zero
CVE-2019-8765: Samuel Groß จาก Google Project Zero
CVE-2019-8766: พบโดย OSS-Fuzz
CVE-2019-8773: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8762: Sergei Glazunov จาก Google Project Zero
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9932: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech
คำขอบคุณพิเศษ
boringssl
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nimrod Aviram จาก Tel Aviv University, Robert Merget จาก Ruhr University Bochum, Juraj Somorovsky จาก Ruhr University Bochum
ค้นหา iPhone ของฉัน
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
บริการข้อมูลประจำตัว
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Vlad Tsyrklevich
หมายเหตุ
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
รูปภาพ
เราขอขอบคุณสำหรับความช่วยเหลือจาก Peter Scott จากซิดนีย์ ออสเตรเลีย
แผ่นแชร์งาน
เราขอขอบคุณสำหรับความช่วยเหลือจาก Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
แถบสถานะ
เราขอขอบคุณสำหรับความช่วยเหลือจาก Isaiah Kahler, Mohammed Adham และนักวิจัยนิรนาม
ระบบโทรศัพท์
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม