เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 26.1

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 26.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 26.1

เผยแพร่เมื่อวันที่ 3 พฤศจิกายน 2025

Apple Account

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถถ่ายภาพหน้าจอแสดงข้อมูลที่ละเอียดอ่อนในมุมมองแบบฝัง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-43455: Ron Masas จาก BreakPoint.SH, Pinak Oza

Apple Neural Engine

มีให้สำหรับ: Apple Watch Series 9 และใหม่กว่า, Apple Watch SE รุ่นที่ 2, Apple Watch Ultra (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-43447: นักวิจัยนิรนาม

CVE-2025-43462: นักวิจัยนิรนาม

AppleMobileFileIntegrity

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-43436: Zhongcheng Li จาก IES Red Team ของ ByteDance

CoreText

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-43445: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Find My

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อน

CVE-2025-43507: iisBuri

FontParser

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-43400: Apple

Installer

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-43444: Zhongcheng Li จาก IES Red Team ของ ByteDance

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอป Sandbox อาจสามารถดูการเชื่อมต่อเครือข่ายทั้งระบบได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดแซนด์บ็อกซ์

CVE-2025-43413: Dave G. และ Alex Radocea จาก supernetworks.org

Mail Drafts

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: คอนเทนต์ระยะไกลอาจโหลดแม้ว่าการตั้งค่า "โหลดอิมเมจระยะไกล" จะปิดอยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มตรรกะ

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme จาก Khatima

MallocStackLogging

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของ Apple Watch ที่ล็อคอยู่อาจดูวอยซ์เมลสดได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-43459: Dalibor Milanovic

Safari

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-43503: @RenwaX23

Sandbox Profiles

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการตั้งค่าผู้ใช้

CVE-2025-43500: Stanislav Jelezoglo

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 276208

CVE-2025-43480: Aleksejs Popovs

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 296693

CVE-2025-43458: Phil Beauvoir

WebKit Bugzilla: 298196

CVE-2025-43430: Google Big Sleep

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 299843

CVE-2025-43443: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

WebKit Bugzilla: 298126

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 297662

CVE-2025-43438: shandikri ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

WebKit Bugzilla: 298606

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

WebKit Bugzilla: 297958

CVE-2025-43434: Google Big Sleep

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

WebKit Bugzilla: 299391

CVE-2025-43435: Justin Cohen of Google

WebKit Bugzilla: 298851

CVE-2025-43425: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้

WebKit Bugzilla: 298093

CVE-2025-43433: Google Big Sleep

WebKit Bugzilla: 298194

CVE-2025-43431: Google Big Sleep

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

WebKit Bugzilla: 299313

CVE-2025-43432: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 298232

CVE-2025-43429: Google Big Sleep

WebKit Canvas

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: เว็บไซต์อาจถอนข้อมูลภาพข้ามต้นทาง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

WebKit Bugzilla: 297566

CVE-2025-43392: Tom Van Goethem

คำขอบคุณพิเศษ

Mail

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

MobileInstallation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bubble Zhang

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Barath Stalin K

Shortcuts

เราขอขอบคุณสำหรับความช่วยเหลือจาก BanKai, Benjamin Hornbeck, Chi Yuan Chang จาก ZUSO ART และ taikosoup, Ryan May, Andrew James Gonzalez และนักวิจัยนิรนาม

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Enis Maholli (enismaholli.com), Google Big Sleep

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 7 พฤศจิกายน 2568