เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 17.3 และ iPadOS 17.3

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 17.3 และ iPadOS 17.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 17.3 และ iPadOS 17.3

เผยแพร่เมื่อวันที่ 22 มกราคม 2024

Apple Neural Engine

มีให้สำหรับอุปกรณ์ที่ใช้ Apple Neural Engine: iPhone XS และใหม่กว่า, iPad Pro 12.9 นิ้ว รุ่นที่ 3 และใหม่กว่า, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 8 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23212: Ye Zhang จาก Baidu Security

CoreCrypto

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัส Ciphertext RSA PKCS#1 v1.5 ดั้งเดิมได้โดยไม่ต้องมีคีย์ส่วนตัว

คําอธิบาย: ปัญหาการโจมตีช่องทางด้านข้างแบบกำหนดเวลาได้รับการแก้ไขแล้วด้วยการปรับปรุงการประมวลผลแบบเวลาคงที่ในฟังก์ชันการเข้ารหัส

CVE-2024-23218: Clemens Lang

Kernel

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2024-23208: fmyy(@binary_fmyy) และ lime จากทีม TIANGONG ของ Legendsec ที่ QI-ANXIN Group

libxpc

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23201: Koh M. Nakagawa จาก FFRI Security, Inc. และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 7 มีนาคม 2024

Mail Search

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23207: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab) และ Ian de Marcellus

Notes

ผลกระทบ: เนื้อหาโน้ตที่ล็อคอาจถูกปลดล็อคโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23228: Harsh Tyagi

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

NSSpellChecker

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23223: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

Power Manager

ผลกระทบ: แอปอาจสร้างความเสียหายให้กับหน่วยความจำโปรเซสเซอร์ร่วมได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

Reset Services

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า

ผลกระทบ: การป้องกันอุปกรณ์ที่ถูกขโมยอาจถูกปิดใช้งานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2024-23219: Peter Watthey และ Christian Scalese

Safari

ผลกระทบ: กิจกรรมการท่องเว็บส่วนตัวของผู้ใช้อาจปรากฏให้เห็นในการตั้งค่า

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการตั้งค่าผู้ใช้

CVE-2024-23211: Mark Bowers

Shortcuts

ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2024-23203: นักวิจัยที่ไม่เปิดเผยชื่อ

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23217: Kirin (@Pwnrin)

TCC

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

ผลกระทบ: แอปอาจสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ในบันทึกระบบได้

CVE-2024-23210: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

WebKit

ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

WebKit Bugzilla: 262699

CVE-2024-23206: นักวิจัยนิรนาม

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu จาก Zhongfu info

WebKit

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้งานโค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) จาก 360 Vulnerability Research Institute

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

คำขอบคุณพิเศษ

NetworkExtension

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nils Rollshausen

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 12 มิถุนายน 2567