เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 17.7.1 และ iPadOS 17.7.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 17.7.1 และ iPadOS 17.7.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 17.7.1 และ iPadOS 17.7.1

Accessibility

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ที่ล็อคอาจสามารถดูข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-44232: Ivan Fratric จาก Google Project Zero

CVE-2024-44233: Ivan Fratric จาก Google Project Zero

CVE-2024-44234: Ivan Fratric จาก Google Project Zero

CoreText

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44240: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Foundation

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44282: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

ImageIO

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44215: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-44297: Jex Amro

Kernel

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การกู้คืนไฟล์สำรองข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการดัดแปลงไฟล์ระบบที่ได้รับการป้องกัน

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การกู้คืนไฟล์สำรองข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการดัดแปลงไฟล์ระบบที่ได้รับการป้องกัน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ให้ดียิ่งขึ้น

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: คอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe

คำอธิบาย: ปัญหาการจัดการแบบแผน URL ที่กำหนดเองได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44155: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

Safari Downloads

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถนำความสัมพันธ์แบบเชื่อใจไปใช้ในทางที่ผิดเพื่อดาวน์โหลดคอนเทนต์ที่ประสงค์ร้าย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-44259: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

SceneKit

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2024-44144: 냥냥

SceneKit

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44218: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

Shortcuts

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจใช้คำสั่งลัดเพื่อเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44269: นักวิจัยนิรนาม

Siri

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ในบันทึกระบบได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจดูคอนเทนต์ที่ถูกจำกัดไว้จากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2024-44261: Braylon (@softwarescool)

WebKit

พร้อมให้ใช้งานสำหรับ: iPhone XS และใหม่กว่า, iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 2 และใหม่กว่า, iPad Pro 10.5 นิ้ว, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 6 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44296: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

คำขอบคุณพิเศษ

Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bing Shi, Wenchao Li และ Xiaolong Bai จาก Alibaba Group

Spotlight

เราขอขอบคุณสำหรับความช่วยเหลือจาก Paulo Henrique Batista Rosa de Castro (@paulohbrc)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eli Grey (eligrey.com)