เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 12.5.5

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ iOS 12.5.5

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 12.5.5

เปิดตัวเมื่อวันที่ 23 กันยายน 2021

CoreGraphics

มีให้สำหรับ: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6)

ผลกระทบ: การประมวลผล PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30860: The Citizen Lab

Core Telephony

มีให้สำหรับ: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6)

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้ ณ เวลาที่เปิดตัว

คำอธิบาย: ปัญหาการยกเลิกการระบุหมายเลขประจำเครื่องได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-31010: Citizen Lab และ Google Project Zero

เพิ่มรายการเมื่อวันที่ 25 พฤษภาคม 2022

WebKit

มีให้สำหรับ: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30858: นักวิจัยนิรนาม

XNU

มีให้สำหรับ: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6)

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30869: Erye Hernandez จาก Google Threat Analysis Group, Clément Lecigne จาก Google Threat Analysis Group และ Ian Beer จาก Google Project Zero

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: