เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 13.1 และ iPadOS 13.1
เปิดตัวเมื่อวันที่ 24 กันยายน 2019
iOS 13.1 และ iPadOS 13.1 มีเนื้อหาความปลอดภัยของ iOS 13
AppleFirmwareUpdateKext
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8747: Mohamed Ghannam (@_simo36)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เสียง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เสียง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019
หนังสือ
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการปฏิเสธบริการอย่างต่อเนื่อง
คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8774: Gertjan Franken imec-DistriNet จาก KU Leuven
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8740: Mohamed Ghannam (@_simo36)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพเฉพาะที่อาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8809: Apple
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2019-8780: Siguza
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
libxslt
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: มีปัญหาหลายประการใน libxslt
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8750: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
mDNSResponder
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงทางกายภาพอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม
CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
คำสั่งลัด
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถสกัดกั้นการรับส่งข้อมูล SSH จากการกระทำ "เรียกใช้สคริปต์ผ่าน SSH"
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการยืนยันคีย์โฮสต์เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ SSH ที่รู้จักอยู่ก่อนหน้า
CVE-2019-8901: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020
UIFoundation
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019
VoiceOver
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์ iOS อาจเข้าถึงรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2019-8775: videosdebarraquito
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาให้เป็นอันตรายอาจเปิดเผยประวัติการเยี่ยมชม
คำอธิบาย: มีปัญหาในการดึงองค์ประกอบหน้าเว็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8769: Piérre Reimertz (@reimertz)
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8710: พบโดย OSS-Fuzz
CVE-2019-8743: zhunki จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8763: Sergei Glazunov จาก Google Project Zero
CVE-2019-8765: Samuel Groß จาก Google Project Zero
CVE-2019-8766: พบโดย OSS-Fuzz
CVE-2019-8773: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8762: Sergei Glazunov จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-9932: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech
เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020
คำขอบคุณพิเศษ
boringssl
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nimrod Aviram จาก Tel Aviv University, Robert Merget จาก Ruhr University Bochum, Juraj Somorovsky จาก Ruhr University Bochum
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
ค้นหา iPhone ของฉัน
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
บริการข้อมูลประจำตัว
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Vlad Tsyrklevich
เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020
หมายเหตุ
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
รูปภาพ
เราขอขอบคุณสำหรับความช่วยเหลือจาก Peter Scott จากซิดนีย์ ออสเตรเลีย
เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019
แผ่นแชร์งาน
เราขอขอบคุณสำหรับความช่วยเหลือจาก Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
แถบสถานะ
เราขอขอบคุณสำหรับความช่วยเหลือจาก Isaiah Kahler, Mohammed Adham และนักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
ระบบโทรศัพท์
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)