เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 10.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 10.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 10.3

เผยแพร่เมื่อวันที่ 22 มกราคม 2024

Apple Neural Engine

ใช้ได้กับอุปกรณ์ที่มี Apple Neural Engine: Apple Watch Series 9 เและ Apple Watch Ultra 2

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23212: Ye Zhang จาก Baidu Security

CoreCrypto

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัส Ciphertext RSA PKCS#1 v1.5 รุ่นเก่าได้โดยไม่ต้องมีกุญแจส่วนตัว

คําอธิบาย: ปัญหาการโจมตีช่องทางด้านข้างแบบกำหนดเวลาได้รับการแก้ไขแล้วด้วยการปรับปรุงการประมวลผลแบบเวลาคงที่ในฟังก์ชันการเข้ารหัส

CVE-2024-23218: Clemens Lang

Kernel

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23208: fmyy(@binary_fmyy) และ lime จากทีม TIANGONG ของ Legendsec ที่ QI-ANXIN Group

libxpc

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23201: Koh M. Nakagawa จาก FFRI Security, Inc. และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 7 มีนาคม 2024

Mail Search

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23207: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab) และ Ian de Marcellus

NSSpellChecker

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23223: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

Safari

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: กิจกรรมการท่องเว็บส่วนตัวของผู้ใช้อาจปรากฏให้เห็นในการตั้งค่า

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการตั้งค่าผู้ใช้

CVE-2024-23211: Mark Bowers

Shortcuts

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23217: Kirin (@Pwnrin)

TCC

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ในบันทึกระบบได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23210: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

WebKit

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

WebKit Bugzilla: 262699

CVE-2024-23206: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu จาก Zhongfu info

WebKit

มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

คำขอบคุณพิเศษ

NetworkExtension

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nils Rollshausen

เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: