เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iOS 15.7.8 และ iPadOS 15.7.8
เผยแพร่เมื่อวันที่ 24 กรกฎาคม 2023
Accessibility
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-40442: Nick Brook
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Apple Neural Engine
มีให้สำหรับอุปกรณ์ที่ใช้ Apple Neural Engine: iPhone 8 และใหม่กว่า, iPad Pro (รุ่นที่ 3) และใหม่กว่า, iPad Air (รุ่นที่ 3) และใหม่กว่า และ iPad mini (รุ่นที่ 5)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-34425: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Apple Neural Engine
มีให้สำหรับอุปกรณ์ที่ใช้ Apple Neural Engine: iPhone 8 และใหม่กว่า, iPad Pro (รุ่นที่ 3) และใหม่กว่า, iPad Air (รุ่นที่ 3) และใหม่กว่า และ iPad mini (รุ่นที่ 5)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-40392: Wojciech Regula of SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Find My
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2023-32416: Wojciech Regula จาก SecuRing (wojciechregula.blog)
FontParser
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) และ Boris Larin (@oct0xor) จาก Kaspersky
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38603: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-38590: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Integer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-36495: 香农的三蹦子 จาก Pangu Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-38604: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) จาก STAR Labs SG Pte. Ltd.
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจแก้ไขสถานะเคอร์เนลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) และ Boris Larin (@oct0xor) จาก Kaspersky
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32433: Zweig จาก Kunlun Lab
CVE-2023-35993: Kaitao Xie และ Xiaolong Bai จาก Alibaba Group
Kernel
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38603: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
libxpc
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38593: Noah Roskin-Frazee
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
libxpc
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น
CVE-2023-38565: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Security
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจสะกดรอยผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
CVE-2023-42831: James Duffy (mangoSecure)
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
Weather
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: แอปอาจระบุตําแหน่งปัจจุบันของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-38605: Adam M.
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin และ Yuval Yarom
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลเอกสารอาจทำให้มีการโจมตีด้วยการส่งสคริปต์ข้ามไซต์
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 259231
CVE-2023-37450: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: เว็บไซต์อาจเลี่ยง Same Origin Policy ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) จาก Suma Soft Pvt. Ltd, ปูเน่ - อินเดีย
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: ผู้โจมตีระยะไกลอาจทะลุผ่านแซนด์บ็อกซ์ของคอนเทนต์บนเว็บได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne จาก Google's Threat Analysis Group และ Donncha Ó Cearbhaill จาก Security Lab ของ Amnesty International
WebKit
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) จาก Cross Republic
WebKit Web Inspector
มีให้สำหรับ: iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
คำขอบคุณพิเศษ
เราขอขอบคุณสําหรับความช่วยเหลือจาก Parvez Anwar
Screenshots
เราขอขอบคุณสำหรับความช่วยเหลือจาก Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca, และ Casati Jacopo
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Narendra Bhati (twitter.com/imnarendrabhati) จาก Suma Soft Pvt. Ltd, ปูเน่ - อินเดีย
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
WebRTC
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม