เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 8.5
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 8.5
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 8.5
Accelerate Framework
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22633: ryuzaki
AppleAVD
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
ImageIO
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-22611: Xingyu Jin จาก Google
ImageIO
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22612: Xingyu Jin จาก Google
Kernel
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22596: นักวิจัยนิรนาม
CVE-2022-22640: sqrtpwn
Kernel
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22613: Alex นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22614: นักวิจัยนิรนาม
CVE-2022-22615: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22632: Keegan Saunders
Kernel
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2021-30946: @gorelics และ Ron Masas จาก BreakPoint.sh
libarchive
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: มีปัญหาหลายประการใน libarchive
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2021-36976
LLVM
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันอาจสามารถลบไฟล์ที่ไม่ได้รับอนุญาตได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถระบุแอปพลิเคชันอื่นที่ผู้ใช้ติดตั้งได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2022-22670: Brandon Azad
Phone
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจสามารถบายพาสการแจ้งให้ป้อนรหัส SOS ฉุกเฉินได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถอ่านการตั้งค่าของแอปพลิเคชันอื่นได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ได้รับการแก้ไขแล้ว
CVE-2022-22654: Abdullah Md Shaleh จาก take0ver
Sandbox
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) จาก Primefort Private Limited, Khiem Tran
Siri
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: บุคคลที่สามาถเข้าถึงตัวอุปกรณ์ได้อาจใช้ Siri เพื่อดูข้อมูลตำแหน่งที่ตั้งบางอย่างจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22599: Andrew Goldberg จาก The University of Texas at Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
UIKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: บุคคลที่เข้าถึงตัวอุปกรณ์ iOS ได้อาจสามารถดูข้อมูลสำคัญผ่านการแนะนำคำบนแป้นพิมพ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22621: Joey Hewitt
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22662: Prakash (@1lastBr3ath) จาก Threat Nix
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22610: Quan Yin จาก Bigo Technology Live Client Team
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22624: Kirin (@Pwnrin) จาก Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) จาก Tencent Security Xuanwu Lab
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22629: Jeonghoon Shin จาก Theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22637: Tom McKee จาก Google
คำขอบคุณพิเศษ
AirDrop
เราขอขอบคุณสำหรับความช่วยเหลือจาก Omar Espino (omespino.com), Ron Masas จาก BreakPoint.sh
Bluetooth
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Face Gallery
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tian Zhang (@KhaosT)
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Konstantin Darutkin จาก FingerprintJS (fingerprintjs.com)
Shortcuts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Baibhav Anand Jha จาก Streamers Land
Siri
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
syslog
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yonghwi Jin (@jinmo123) จาก Theori
UIKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Shadel จาก Day Logger, Inc.
Wallet
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abdullah Md Shaleh
WebKit Storage
เราขอขอบคุณสำหรับความช่วยเหลือจาก Martin Bajanik จาก FingerprintJS
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม