เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 17.1 และ iPadOS 17.1

เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ iOS 17.1 และ iPadOS 17.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 17.1 และ iPadOS 17.1

เปิดตัวเมื่อวันที่ 25 ตุลาคม 2023

Automation

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-42952: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Contacts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-41072: Wojciech Regula of SecuRing (wojciechregula.blog) และ Csaba Fitzl (@theevilbit) จาก Offensive Security

CVE-2023-42857: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40449: Tomi Tokics (@tomitokics) จาก iTomsn0w

Core Recents

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการล้างข้อมูลบันทึก

CVE-2023-42823

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

FairPlay

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Find My

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

CVE-2023-40413: Adam M.

Find My

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2023-42834: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Game Center

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

ImageIO

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40416: JZ

ImageIO

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

CVE-2023-42848: JZ

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

IOTextEncryptionFamily

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-40423: นักวิจัยนิรนาม

Kernel

ผลกระทบ: ผู้โจมตีที่สั่งให้โค้ดทำงานในระดับเคอร์เนลได้แล้ว อาจสามารถหลบเลี่ยงกลไกป้องกันปัญหาช่องโหว่หน่วยความจำเคอร์เนลได้ด้วย

CVE-2023-42849: Linus Henze จาก Pinauten GmbH (pinauten.de)

libc

ผลกระทบ: การประมวลผลอินพุตที่สร้างขึ้นเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการในแอปที่ผู้ใช้ติดตั้ง

CVE-2023-40446: inooo

เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2023

libxpc

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจได้รับสิทธิ์ในระดับรูท

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยปรับปรุงการจัดการ symlinks

CVE-2023-42942: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Mail Drafts

ผลกระทบ: ซ่อนอีเมลของฉันอาจถูกปิดใช้งานโดยไม่คาดคิด

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2023-42846: Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co

Passkeys

ผลกระทบ: ผู้โจมตีอาจเข้าถึงพาสคีย์ได้โดยไม่ต้องยืนยันตัวตน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42847: นักวิจัยนิรนาม

Photos

ผลกระทบ: อาจมีการดูรูปภาพในอัลบั้มรูปภาพที่ซ่อนอยู่ได้โดยไม่ต้องยืนยันตัวตน

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-42845: Bistrit Dahal

อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Pro Res

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute

Pro Res

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-42873: Mingxuan Yang (@PPPF00L) และ happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Safari

ผลกระทบ: ผู้ใช้อาจไม่สามารถลบรายการประวัติการเรียกดูได้

CVE-2023-42951: Adis Alic

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Sandbox

ผลกระทบ: ผู้โจมตีอาจสามารถเข้าถึงดิสก์โวลุ่มเครือข่ายที่เชื่อมต่อซึ่งติดเชื่อมอยู่ในโฮมไดเร็กตอรีได้

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Sandbox

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Setup Assistant

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าถึงตัวเครื่องอาจสามารถแอบลง Apple ID ไว้ในอุปกรณ์ที่ลบข้อมูลไปแล้วได้

CVE-2023-42855: Sam Lakmaker

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Share Sheet

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula of SecuRing (wojciechregula.blog) และ Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Siri

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Siri

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42946

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Status Bar

มีให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro รุ่น 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro รุ่น 10.5 นิ้ว, iPad Pro รุ่น 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: อุปกรณ์อาจล็อคไม่ได้ซ้ำๆ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, an นักวิจัยนิรนาม, Lorenzo Cavallaro และ Harry Lewandowski

Weather

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-41254: Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) จาก Cross Republic

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) และ Vitor Pedreira (@0xvhp_) จาก Agile Information Security

อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

WebKit

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

WebKit

ผลกระทบ: กิจกรรมการท่องเว็บแบบส่วนตัวของผู้ใช้อาจถูกบันทึกโดยไม่คาดคิดไว้ใน App Privacy Report

CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

WebKit Process Model

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิด Denial of Service

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

คำขอบคุณพิเศษ

libarchive

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bahaa Naamneh

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz, Ned Williamson จาก Google Project Zero

Power Manager

เราขอขอบคุณสำหรับความช่วยเหลือจาก Xia0o0o0o (@Nyaaaaa_ovo) จาก University of California, San Diego

ReplayKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

VoiceOver

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gishan Don Ranasinghe และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

WidgetKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 27 กุมภาพันธ์ 2567