เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ Watch OS 1.0.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ Watch OS 1.0.1

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple ให้ดูเว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดตความปลอดภัยอื่นๆโปรดดู การอัพเดตความปลอดภัยของ Apple

Watch OS 1.0.1

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: อัพเดตให้เป็นไปตามนโยบายความน่าเชื่อถือของใบรับรอง

    คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัพเดต สามารถดูรายการใบรับรองทั้งหมดได้ที่ https://support.apple.com/kb/HT204873?viewlocale=th_TH

  • FontParser

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่ใช้ NSXMLParser อาจถูกนำมาใช้ในทางที่ผิดเพื่อเปิดเผยข้อมูล

    คำอธิบาย: มีปัญหาเอนทิตี้ภายนอก XML ในการจัดการ XML ของ NSXMLParser ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่โหลดเอนทิตี้ภายนอกข้ามต้นฉบับ

    CVE-ID

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน IOHIDFamily ที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel แห่ง IOActive

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน IOAcceleratorFamily ที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบรหัสที่ไม่จำเป็น

    CVE-ID

    CVE-2015-1094: Cererdlong แห่งทีมรักษาความปลอดภัย Alibaba Mobile

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบได้

    คำอธิบาย: มีสภาวะการแย่งชิงในการเรียกระบบ setreuid ของเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1099: Mark Mentovai แห่ง Google Inc.

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนเส้นทางรับส่งข้อมูลของผู้ใช้ไปยังโฮสต์ได้โดยอำเภอใจ

    คำอธิบาย: การเปลี่ยนเส้นทาง ICMP ถูกเปิดใช้งานโดยค่าเริ่มต้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการเปลี่ยนเส้นทาง ICMP

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาความไม่สอดคล้องกันของสถานะในการจัดการข้อมูล TCP ที่อยู่นอกแถบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1105: Kenton Varda แห่ง Sandstorm.io

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจยกระดับสิทธิ์โดยการใช้บริการที่ถูกเจาะระบบแล้ว ซึ่งมุ่งที่จะดำเนินการด้วยสิทธิ์ที่ลดลง

    คำอธิบาย: การเรียกระบบ setreuid และ setregid ล้มเหลวในการลดสิทธิ์อย่างถาวร ปัญหานี้ได้รับการแก้ไขแล้วโดยการลดสิทธิ์อย่างถูกต้อง

    CVE-ID

    CVE-2015-1117: Mark Mentovai แห่ง Google Inc.

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถเลี่ยงตัวกรองเครือข่ายได้

    คำอธิบาย: ระบบอาจมองแพ็คเก็ต IPv6 บางแพ็คเก็ตจากอินเทอร์เฟซเครือข่ายระยะไกลเสมือนเป็นแพ็คเก็ตเฉพาะที่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปฏิเสธแพ็คเก็ตเหล่านี้

    CVE-ID

    CVE-2015-1104: Stephen Roettger แห่งทีมรักษาความปลอดภัยของ Google

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีความไม่สอดคล้องกันของสถานะในการประมวลผลส่วนหัวของ TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov และ Maxim Zhuravlev แห่ง Kaspersky Lab

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้เกิดการยุติระบบโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนล

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1100: Maxime Villard แห่ง m00nbsd

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Secure Transport

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับการเชื่อมต่อ SSL/TLS ได้

    คำอธิบาย: Secure Transport จะยอมรับกุญแจ RSA ชั่วคราวระยะสั้น ซึ่งปกติมักจะใช้ใน RSA Cipher Suites แบบ export-strength เท่านั้นในการเชื่อมต่อโดยใช้ RSA Cipher Suites แบบ full-strength ปัญหานี้ซึ่งรู้จักกันในชื่อ FREAK ส่งผลกระทบต่อการเชื่อมต่อกับเซิร์ฟเวอร์ที่สนับสนุน RSA Cipher Suites แบบ export-strength เท่านั้น และได้รับการแก้ไขแล้วโดยยกเลิกการสนับสนุนกุญแจ RSA ชั่วคราว

    CVE-ID

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Piront และ Jean Karim Zinzindohoue แห่ง Prosecco ใน Inria Paris

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: