เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 7.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 7.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 7.4

เปิดตัวเมื่อวันที่ 26 เมษายน 2021

AppleMobileFileIntegrity

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาในการตรวจสอบความถูกต้องลายเซ็นโค้ดได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดีขึ้น

CVE-2021-1849: Siguza

Audio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1808: JunDong Xie จาก Ant Security Light-Year Lab

CFNetwork

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1857: นักวิจัยนิรนาม

Compression

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

คำอธิบาย: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

CVE-2021-30752: Ye Zhang (@co0py_Cat) จาก Baidu Security

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

CoreAudio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30664: JunDong Xie จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 6 พฤษภาคม 2021

CoreAudio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น

CVE-2021-1846: JunDong Xie จาก Ant Security Light-Year Lab

CoreAudio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

CVE-2021-1809: JunDong Xie จาก Ant Security Light-Year Lab

CoreFoundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2021-30659: Thijs Alkemade จาก Computest

CoreText

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1811: Xingwei Lin จาก Ant Security Light-Year Lab

FaceTime

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การปิดเสียงการโทร CallKit ในขณะมีการโทรเข้าอาจไม่ทำให้การปิดเสียงทำงาน

CVE-2021-1872: Siraj Zaneer จาก Facebook

FontParser

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-2021-1881: นักวิจัยนิรนาม, Xingwei Lin จาก Ant Security Light-Year Lab, Mickey Jin จาก Trend Micro และ Hou JingYi (@hjy79425575) จาก Qihoo 360

Foundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท

CVE-2021-1813: Cees Elzinga

Heimdal

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความเซิร์ฟเวอร์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

CVE-2021-1880: Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang จาก Baidu Security

CVE-2021-1814: Ye Zhang จาก Baidu Security, Mickey Jin และ Qi Sun จาก Trend Micro และ Xingwei Lin จาก Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang จาก Baidu Security

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1885: CFF จาก Topsec Alpha Team

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

CVE-2021-1858: Mickey Jin จาก Trend Micro

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30743: Ye Zhang (@co0py_Cat) จาก Baidu Security, Jzhu working ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Xingwei Lin จาก Ant Security Light-Year Lab, CFF จาก Topsec Alpha Team, Jeonghoon Shin (@singi21a) จาก THEORI ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

ImageIO

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

คำอธิบาย: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-2021-30764: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

iTunes Store

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่รัน JavaScript อาจรันโค้ดโดยพลการได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1864: CodeColorist จาก Ant-Financial LightYear Labs

Kernel

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้

CVE-2021-1860: @0xalsr

Kernel

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-1816: Tielei Wang จาก Pangu Lab

Kernel

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลโดยพลการ

CVE-2021-1851: @0xalsr

Kernel

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ไฟล์ที่คัดลอกอาจไม่มีสิทธิ์อนุญาตไฟล์ที่ควรมี

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2021-1832: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้

CVE-2021-30660: Alex Plaskett

libxpc

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2021-30652: James Hutchins

libxslt

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-1875: พบโดย OSS-Fuzz

MobileInstallation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2021-1822: Bruno Virlet จาก The Grizzly Labs

Preferences

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2021-1815: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถเขียนไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2021-1807: David Schütz (@xdavidhu)

Tailspin

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

CVE-2021-1868: Tim Michaud จาก Zoom Communications

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-1825: Alex Camboe จาก Aon’s Cyber Solutions

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-1817: zhunki

อัปเดตรายการเมื่อวันที่ 6 พฤษภาคม 2021

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

CVE-2021-1826: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

CVE-2021-1820: André Bargull

อัปเดตรายการเมื่อวันที่ 6 พฤษภาคม 2021

WebKit Storage

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

CVE-2021-30661: yangkang(@dnpushme) จาก 360 ATA

WebRTC

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

คำอธิบาย: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

CVE-2020-7463: Megan2013678

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

Wi-Fi

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นอาจส่งผลให้เกิดการใช้โค้ดโดยพลการ

CVE-2021-1770: Jiska Classen (@naehrdine) จาก Secure Mobile Networking Lab, TU Darmstadt

เพิ่มรายการเมื่อวันที่ 21 กรกฎาคม 2021

คำขอบคุณพิเศษ

AirDrop

เราขอขอบคุณสำหรับความช่วยเหลือจาก @maxzks

CoreAudio

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

CoreCrypto

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andy Russon จาก Orange Group

File Bookmark

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Foundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial LightYear Labs

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Antonio Frighetto จาก Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) จาก SensorFu, Proteas และ Tielei Wang จาก Pangu Lab

Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Xingwei Lin จาก Ant Security Light-Year Lab และ john (@nyan_satan)

sysdiagnose

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Michaud (@TimGMichaud) จาก Leviathan

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Emilio Cobos Álvarez จาก Mozilla

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 12 เมษายน 2567