เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 13

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 13

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 13

เปิดตัวเมื่อวันที่ 19 กันยายน 2019

บลูทูธ

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: ตัวอย่างการแจ้งเตือนอาจแสดงขึ้นบนอุปกรณ์เสริมบลูทูธแม้ว่าจะปิดใช้งานการแสดงตัวอย่างอยู่ก็ตาม

คำอธิบาย: มีปัญหาตรรกะในการแสดงผลตัวอย่างการแจ้งเตือน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8711: Arjang จาก MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) จาก Garanti BBVA, Oguzhan Meral จาก Deloitte Consulting, Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Face ID

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: โมเดล 3D ที่สร้างมาให้ดูเหมือนผู้ใช้ที่ลงทะเบียนแล้วอาจได้รับการรับรองความถูกต้องผ่าน Face ID

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงโมเดลการเรียนรู้ของระบบสำหรับ Face ID

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) จาก Ant-financial Light-Year Security Lab

Foundation

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8641: Samuel Groß และ Natalie Silvanovich จาก Google Project Zero

คีย์บอร์ด

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) จาก SAINTSEC

ข้อความ

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์ iOS อาจเข้าถึงรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2019-8742: videosdebarraquito

Quick Look

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตที่มีการให้สิทธิ์อนุญาตอย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2019-8731: Saif Hamed Hamdan Al Hinai จาก Oman National CERT, Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5) จาก Quotient Technology

การโหลดหน้า WebKit

มีให้สำหรับ: iPhone 6s และใหม่กว่า

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8674

คำขอบคุณพิเศษ

บลูทูธ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jan Ruge จาก TU Darmstadt, Secure Mobile Networking Lab, Jiska Classen จาก TU Darmstadt, Secure Mobile Networking Lab, Francesco Gringoli จาก University of Brescia, Dennis Heinze จาก TU Darmstadt, Secure Mobile Networking Lab

ศูนย์ควบคุม

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Sellers

คีย์บอร์ด

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

เมล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kenneth Hyndycz

โปรไฟล์

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Seeley (@Code4iOS) จาก Shriver Job Corps

SafariViewController

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: