เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 7.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 7.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 7.3

เปิดตัวเมื่อวันที่ 26 มกราคม 2021

การวิเคราะห์

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1761: Cees Elzinga

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

APFS

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2021-1797: Thomas Tempelmann

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

CoreAnimation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายสามารถใช้รหัสได้ตามอำเภอใจ ซึ่งทำให้เป็นภัยต่อข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1760: @S0rryMybad จาก 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

CoreAudio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1747: JunDong Xie จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

CoreGraphics

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1776: Ivan Fratric จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

CoreText

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1772: Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

CoreText

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1792: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

ตัวรายงานการล่ม

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถสร้างหรือแก้ไขไฟล์ระบบได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1786: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ตัวรายงานการล่ม

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2021-1787: James Hutchins

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

FairPlay

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun และ Mickey Jin จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

FontParser

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1758: Peter Nguyen จาก STAR Labs

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1818: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1773: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1766: Danny Rosseau จาก Carve Systems

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1785: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1744: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1818: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1742: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) จาก THEORI, Mickey Jin และ Qi Sun จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1741: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin และ Junzhi Lu จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1778: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1783: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

IOSkywalkFamily

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1757: Proteas และ Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

iTunes Store

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผล URL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด javascript โดยอำเภอใจ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2021-1748: CodeColorist ที่ทำงานร่วมกับ Ant Security Light-Year Labs

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1764: @m00nbsd

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2021-1750: @0xalsr

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถยกระดับสิทธิ์ได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้เกิดขึ้น

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2021-1782: นักวิจัยนิรนาม

Swift

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1769: CodeColorist จาก Ant-Financial Light-Year Labs

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1788: Francisco Alonso (@revskills)

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021 อัพเดทรายการเมื่อวันที่ 16 มีนาคม 2021

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1789: @S0rryMybad จาก 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: คอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุม Sandbox ของ iframe

CVE-2021-1801: Eliya Stein จาก Confiant

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

WebRTC

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถเข้าถึงพอร์ตที่จำกัดไว้ในเซิร์ฟเวอร์โดยอำเภอใจ

คำอธิบาย: ปัญหาการเปลี่ยนเส้นทางของพอร์ตได้รับการแก้ไขแล้วโดยการตรวจสอบพอร์ตเพิ่มเติม

CVE-2021-1799: Gregory Vishnepolsky และ Ben Seri จาก Armis Security และ Samy Kamkar

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

คำขอบคุณพิเศษ

iTunes Store

เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial Light-Year Labs

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Junzhi Lu (@pwn0rz), Mickey Jin และ Jesse Change จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

libpthread

เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial Light-Year Labs

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

Store Demo

เราขอขอบคุณสำหรับความช่วยเหลือจาก @08Tc3wBB

เพิ่มรายการเมื่อวันที่ 1 กุมภาพันธ์ 2021

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: