เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 3.2.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 3.2.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 3.2.2

เปิดตัวเมื่อวันที่ 15 พฤษภาคม 2017

AVEVideoEncoder

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-6989: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6994: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6995: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6996: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6997: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6998: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6999: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

CoreAudio

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบยืนยันได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-2502: Yangkang (@dnpushme) จาก Qihoo360 Qex Team

CoreFoundation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2522: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 19 พฤษภาคม 2017

CoreText

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7003: Jake Davis จาก SPYSCAPE (@DoubleJake)

เพิ่มรายการเมื่อวันที่ 31 พฤษภาคม 2017

Foundation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2523: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 19 พฤษภาคม 2017

IOSurface

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2017-6979: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2017-2501: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบยืนยันได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-2507: Ian Beer จาก Google Project Zero

CVE-2017-6987: Patrick Wardle จาก Synack

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2513: ค้นพบโดย OSS-Fuzz

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2518: ค้นพบโดย OSS-Fuzz

CVE-2017-2520: ค้นพบโดย OSS-Fuzz

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2519: ค้นพบโดย OSS-Fuzz

TextInput

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2524: Ian Beer จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2521: lokihardt จาก Google Project Zero

คำขอบคุณพิเศษ

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Orr A. จาก Aleph Research, HCL Technologies

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ian Beer จาก Google Project Zero

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: