เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 13.2 และ iPadOS 13.2
เปิดตัวเมื่อวันที่ 28 ตุลาคม 2019
บัญชี
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
AirDrop
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมด "ทุกคน"
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8796: Allison Husain จาก UC Berkeley
เพิ่มรายการเมื่อวันที่ 4 เมษายน 2020
App Store
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
โดเมนที่เกี่ยวข้อง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผล URL ที่ไม่เหมาะสมอาจทำให้เกิดการรั่วไหลของข้อมูลได้
คำอธิบาย: มีปัญหาเกิดขึ้นในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8788: Juha Lindstedt จาก Pakastin, Mirko Tanania, Rauli Rikama จาก Zero Keyboard Ltd
เสียง
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8785: Ian Beer จาก Google Project Zero
CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
AVEVideoEncoder
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8795: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
หนังสือ
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2019-8789: Gertjan Franken จาก imec-DistriNet, KU Leuven
รายชื่อ
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลข้อมูลติดต่อที่ประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI ได้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7152: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)
กิจกรรมระบบไฟล์
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ไดรเวอร์กราฟิก
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern
อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019
เคอร์เนล
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8829: Jann Horn จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 8 พฤศจิกายน 2019
ตัวช่วยตั้งค่า
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีในระยะจริงที่ใกล้ชิดอาจสามารถบังคับให้ผู้ใช้เข้าสู่เครือข่าย Wi-Fi ที่เป็นอันตรายระหว่างการตั้งค่าอุปกรณ์ได้
คำอธิบาย: ความไม่สอดคล้องกันในการตั้งค่าการกำหนดค่าเครือข่าย Wi-Fi ได้รับการแก้ไขแล้ว
CVE-2019-8804: Christy Philip Mathew จาก Zimperium, Inc
การบันทึกหน้าจอ
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถบันทึกหน้าจอได้โดยไม่มีตัวแสดงสถานะการบันทึกหน้าจอปรากฏขึ้น
คำอธิบาย: มีปัญหาความสอดคล้องในการตัดสินใจว่าเมื่อใดตัวแสดงสถานะการบันทึกหน้าจอจะปรากฏขึ้น ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8793: Ryan Jenkins จาก Lake Forrest Prep School
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8813: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team
CVE-2019-8808: พบโดย OSS-Fuzz
CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8812: JunDong Xie จาก Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8820: Samuel Groß จาก Google Project Zero
CVE-2019-8821: Sergei Glazunov จาก Google Project Zero
CVE-2019-8822: Sergei Glazunov จาก Google Project Zero
CVE-2019-8823: Sergei Glazunov จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019
WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยเว็บไซต์ที่ผู้ใช้เคยเยี่ยมชมได้
คำอธิบาย: ส่วนหัวของ HTTP ที่ทำการอ้างอิงอาจถูกใช้ในการทำให้ประวัติการเรียกดูรั่วไหล ปัญหาดังกล่าวได้รับการแก้ไขแล้วโดยการดาวน์เกรดผู้อ้างอิงของบริษัทอื่นทั้งหมดไปยังต้นทาง
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum, และ Roberto Clapis จาก Google Security Team
เพิ่มรายการเมื่อวันที่ 6 กุมภาพันธ์ 2020
แบบจำลองกระบวนการ WebKit
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8815: Apple
Wi-Fi
มีให้สำหรับ: iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่า และ iPod touch รุ่นที่ 7
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-15126: Milos Cermak ที่ ESET
เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
คำขอบคุณพิเศษ
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 8 พฤศจิกายน 2019
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Tencent's Xuanwu Lab และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group