เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2.2
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
คุณสามารถดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ
หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple
watchOS 2.2
ภาพดิสก์
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1717 : Frank Graziano จาก Yahoo! Pentest Team
FontParser
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1740 : HappilyCoded (ant4g0nist และ r3dsm0k3) ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro
HTTPProtocol
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีช่องโหว่หลายแห่งใน nghttp2 เวอร์ชั่นก่อน 1.6.0 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท nghttp2 ให้เป็นเวอร์ชั่น 1.6.0
CVE-ID
CVE-2015-8659
IOHIDFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1719 : Ian Beer จาก Google Project Zero
IOHIDFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1748 : Brandon Azad
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1720 : Ian Beer จาก Google Project Zero
CVE-2016-1721 : Ian Beer จาก Google Project Zero และ Ju Zhu จาก Trend Micro
CVE-2016-1754 : Lufeng Li จาก Qihoo 360 Vulcan Team
CVE-2016-1755 : Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้งานหลังให้ฟรีได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1750 : CESG
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1753 : Juwei Lin Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการลงชื่อรหัสได้
คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตที่มีการให้สิทธิ์อนุญาตอย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1751 : Eric Monti จาก Square Mobile Security
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1752 : CESG
libxml2
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1819
CVE-2015-5312 : David Drysdale จาก Google
CVE-2015-7499
CVE-2015-7500 : Kostya Serebryany จาก Google
CVE-2015-7942 : Kostya Serebryany จาก Google
CVE-2015-8035 : gustavo.grieco
CVE-2015-8242 : Hugh Davenport
CVE-2016-1761 : wol0xff ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro
CVE-2016-1762
libxslt
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7995 : puzzor
ข้อความ
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: ผู้โจมตีอาจสามารถอ่านไฟล์แนบได้หากเขาสามารถลอดผ่านการปักหมุดใบรับรองของ Apple, ขัดขวางการเชื่อมต่อ TLS, แทรกข้อความ และบันทึกข้อความประเภทไฟล์แนบที่เข้ารหัสเอาไว้ได้
คำอธิบาย: ปัญหาการเข้ารหัสได้รับการแก้ไขแล้วโดยการปฏิเสธข้อความซํ้าในไคลเอนต์
CVE-ID
CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers และ Michael Rushanan จาก Johns Hopkins University
ความปลอดภัย
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การประมวลผลแพ็คเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-ID
CVE-2016-1950 : Francis Gabriel จาก Quarkslab
syslog
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1722 : Joshua J. Drake และ Nikias Bassen จาก Zimperium zLabs
TrueTypeScaler
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-ID
CVE-2016-1775 : 0x1byte ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro
WebKit
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1723 : Apple
CVE-2016-1724 : Apple
CVE-2016-1725 : Apple
CVE-2016-1726 : Apple
CVE-2016-1727 : Apple
Wi-Fi
มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการตรวจสอบเฟรมและหน่วยความจำเสียหายสำหรับ ethertype ที่กำหนด ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบ ethertype เพิ่มเติมและปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-0801 : นักวิจัยนิรนาม
CVE-2016-0802 : นักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม