เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 2.2.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 2.2.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

watchOS 2.2.1

  • CommonCrypto

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: มีปัญหาเกิดขึ้นในการจัดการค่าการส่งคืนใน CCCrypt ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการความยาวคีย์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1803: Ian Beer จาก Google Project Zero ซึ่งเป็น daybreaker ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • ภาพดิสก์

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

    คำอธิบาย: สภาวะการแย่งชิงได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1807: Ian Beer จาก Google Project Zero

  • ภาพดิสก์

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1808: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro

  • ImageIO

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1817: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

    CVE-2016-1818: Juwei Lin จาก TrendMicro, sweetchip@GRAYHASH ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

    อัพเดทรายการเมื่อวันที่ 13 ธันวาคม 2016

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่หน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1819: Ian Beer จาก Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1813: Ian Beer จาก Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1823: Ian Beer จาก Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

  • libc

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1832: Karl Williamson

  • libxml2

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1836: Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2016-1837: Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: ลิงก์ที่แชร์ถูกส่งด้วยโปรโตคอล HTTP มากกว่า HTTPS ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งาน HTTPS สำหรับลิงก์ที่แชร์

    CVE-ID

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1847: Tongbo Luo และ Bo Qu จาก Palo Alto Networks

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: