เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.1.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.1.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 5.1.3

เปิดตัวเมื่อวันที่ 22 มกราคม 2019

AppleKeyStore

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6235: Brandon Azad

Core Media

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6202: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreAnimation

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6231: Zhuo Liang จาก Qihoo 360 Nirvan Team

CoreAnimation

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6230: Proteas, Shrek_wzw และ Zhuo Liang จาก Qihoo 360 Nirvan Team

FaceTime

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถเริ่มการโทรผ่าน FaceTime ซึ่งอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6224: natashenka จาก Google Project Zero

IOKit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6214: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6210: Ned Williamson จาก Google

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6213: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6209: Brandon Azad จาก Google Project Zero

การประมวลผลภาษาธรรมชาติ

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6219: Authier Thomas

SQLite

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebKit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6227: Qixun Zhao จาก Qihoo 360 Vulcan Team

WebKit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6216: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-6217: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Proteas, Shrek_wzw และ Zhuo Liang จาก Qihoo 360 Nirvan Team

CVE-2019-6226: Apple

คำขอบคุณพิเศษ

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Fatemah Alharbi จาก University of California, Riverside (UCR) และ Taibah University (TU), Jie Chang จาก LinkSure Network, Yuchen Zhou จาก Northeastern University, Feng Qian จาก University of Minnesota – Twin City, Zhiyun Qian จาก University of California, Riverside (UCR) และ Nael Abu-Ghazaleh จาก University of California, Riverside (UCR)

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: