เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 3

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 3

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 3

เปิดตัวเมื่อวันที่ 13 กันยายน 2016

เสียง

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park และ Taekyoung Kwon จาก Information Security Lab, Yonsei University

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CFNetwork

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์ส่วนหัว Set-Cookie ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น

CVE-2016-4708: Dawid Czagan จาก Silesia Security Lab

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CoreCrypto

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการลบโค้ดที่เป็นอันตรายออก

CVE-2016-4712: Gergo Koteles

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

FontParser

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4718: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

GeoServices

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตใน PlaceData ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IOAcceleratorFamily

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4725: Rodger Combs จาก Plex, Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

IOAcceleratorFamily

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4726: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการจัดการล็อคได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการล็อคให้ดียิ่งขึ้น

CVE-2016-4772: Marc Heuse จาก mh-sec

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหลายประการในการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4775: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Pointer Dereference ที่ไม่น่าเชื่อถือได้รับการแก้ไขแล้วโดยการลบโค้ดที่ได้รับผลกระทบออก

CVE-2016-4777: Lufeng Li จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4778: CESG

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxml2

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: มีปัญหาหลายประการใน libxml2 ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxslt

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4738: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

ความปลอดภัย

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาในการตรวจสอบภาพดิสก์ที่ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2016-4753: Mark Mentovai จาก Google Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4737: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

Wi-Fi Manager

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ส่วนขยายแอพอาจสามารถเข้าถึงอินเทอร์เน็ต

คำอธิบาย: ปัญหาการบังคับใช้นโยบายหลายปัญหาที่เกิดกับการแชร์ Wi-Fi ปัญหาเหล่านี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์ที่ปรับปรุงดีขึ้น

CVE-2016-7699: Proteas จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: