เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.1.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.1.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
watchOS 5.1.2
AirPort
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4303: Mohamed Ghannam (@_simo36)
ภาพดิสก์
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4427: ทีม Pangu
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4431: นักวิจัยความปลอดภัยอิสระได้รายงานข้อมูลช่องโหว่นี้แก่โปรแกรม SecuriTeam Secure Disclosure ของ Beyond Security
CVE-2018-4448: Brandon Azad
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยง
CVE-2018-4460: Kevin Backhouse จาก Semmle Security Research Team
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4431: นักวิจัยความปลอดภัยอิสระได้รายงานข้อมูลช่องโหว่นี้แก่โปรแกรม SecuriTeam Secure Disclosure ของ Beyond Security
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4447: Juwei Lin(@panicaII) และ Zhengyu Dong จาก TrendMicro Mobile Security Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2018-4435: Jann Horn จาก Google Project Zero, Juwei Lin(@panicaII) และ Junzhi Lu จาก TrendMicro Mobile Security Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4461: Ian Beer จาก Google Project Zero
LinkPresentation
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลอีเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4429: Victor Le Pochat จาก imec-DistriNet, KU Leuven
โปรไฟล์
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: โปรไฟล์การกำหนดค่าที่ไม่น่าเชื่อถืออาจแสดงผลอย่างไม่ถูกต้องว่าได้รับการตรวจสอบแล้ว
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในโปรไฟล์การกำหนดค่า ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบเพิ่มเติม
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. จาก JJS Securities
WebKit
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4437: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab ประเทศเกาหลี
CVE-2018-4464: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab ประเทศเกาหลี
WebKit
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4441: lokihardt จาก Google Project Zero
CVE-2018-4442: lokihardt จาก Google Project Zero
CVE-2018-4443: lokihardt จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4438: lokihardt จาก Google Project Zero, Qixun Zhao จาก Qihoo 360 Vulcan Team
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม