เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ Watch OS 1.0.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ Watch OS 1.0.1
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple ให้ดูเว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
หากต้องการเรียนรู้เกี่ยวกับการอัพเดตความปลอดภัยอื่นๆโปรดดู การอัพเดตความปลอดภัยของ Apple
Watch OS 1.0.1
นโยบายความน่าเชื่อถือของใบรับรอง
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: อัพเดตให้เป็นไปตามนโยบายความน่าเชื่อถือของใบรับรอง
คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัพเดต สามารถดูรายการใบรับรองทั้งหมดได้ที่ https://support.apple.com/kb/HT204873?viewlocale=th_TH
FontParser
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Foundation
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่ใช้ NSXMLParser อาจถูกนำมาใช้ในทางที่ผิดเพื่อเปิดเผยข้อมูล
คำอธิบาย: มีปัญหาเอนทิตี้ภายนอก XML ในการจัดการ XML ของ NSXMLParser ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่โหลดเอนทิตี้ภายนอกข้ามต้นฉบับ
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน IOHIDFamily ที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1096: Ilja van Sprundel แห่ง IOActive
IOAcceleratorFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน IOAcceleratorFamily ที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบรหัสที่ไม่จำเป็น
CVE-ID
CVE-2015-1094: Cererdlong แห่งทีมรักษาความปลอดภัย Alibaba Mobile
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบได้
คำอธิบาย: มีสภาวะการแย่งชิงในการเรียกระบบ setreuid ของเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1099: Mark Mentovai แห่ง Google Inc.
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนเส้นทางรับส่งข้อมูลของผู้ใช้ไปยังโฮสต์ได้โดยอำเภอใจ
คำอธิบาย: การเปลี่ยนเส้นทาง ICMP ถูกเปิดใช้งานโดยค่าเริ่มต้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการเปลี่ยนเส้นทาง ICMP
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีจากระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาความไม่สอดคล้องกันของสถานะในการจัดการข้อมูล TCP ที่อยู่นอกแถบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1105: Kenton Varda แห่ง Sandstorm.io
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจยกระดับสิทธิ์โดยการใช้บริการที่ถูกเจาะระบบแล้ว ซึ่งมุ่งที่จะดำเนินการด้วยสิทธิ์ที่ลดลง
คำอธิบาย: การเรียกระบบ setreuid และ setregid ล้มเหลวในการลดสิทธิ์อย่างถาวร ปัญหานี้ได้รับการแก้ไขแล้วโดยการลดสิทธิ์อย่างถูกต้อง
CVE-ID
CVE-2015-1117: Mark Mentovai แห่ง Google Inc.
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถเลี่ยงตัวกรองเครือข่ายได้
คำอธิบาย: ระบบอาจมองแพ็คเก็ต IPv6 บางแพ็คเก็ตจากอินเทอร์เฟซเครือข่ายระยะไกลเสมือนเป็นแพ็คเก็ตเฉพาะที่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปฏิเสธแพ็คเก็ตเหล่านี้
CVE-ID
CVE-2015-1104: Stephen Roettger แห่งทีมรักษาความปลอดภัยของ Google
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีความไม่สอดคล้องกันของสถานะในการประมวลผลส่วนหัวของ TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1102: Andrey Khudyakov และ Maxim Zhuravlev แห่ง Kaspersky Lab
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้เกิดการยุติระบบโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนล
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1100: Maxime Villard แห่ง m00nbsd
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1101: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
Secure Transport
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับการเชื่อมต่อ SSL/TLS ได้
คำอธิบาย: Secure Transport จะยอมรับกุญแจ RSA ชั่วคราวระยะสั้น ซึ่งปกติมักจะใช้ใน RSA Cipher Suites แบบ export-strength เท่านั้นในการเชื่อมต่อโดยใช้ RSA Cipher Suites แบบ full-strength ปัญหานี้ซึ่งรู้จักกันในชื่อ FREAK ส่งผลกระทบต่อการเชื่อมต่อกับเซิร์ฟเวอร์ที่สนับสนุน RSA Cipher Suites แบบ export-strength เท่านั้น และได้รับการแก้ไขแล้วโดยยกเลิกการสนับสนุนกุญแจ RSA ชั่วคราว
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Piront และ Jean Karim Zinzindohoue แห่ง Prosecco ใน Inria Paris
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม