เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 26.4
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 26.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 26.4
เปิดตัวเมื่อวันที่ 24 มีนาคม 2026
802.1X
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลเครือข่ายได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2026-28865: Héloïse Gollier และ Mathy Vanhoef (KU Leuven)
Accounts
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2026-28877: Rosyna Keller จาก Totally Not Malicious Software
Audio
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2026-28879: Justin Cohen จาก Google
Audio
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2026-28822: Jex Amro
CoreMedia
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลสตรีมเสียงในไฟล์มีเดียที่ถูกสร้างขึ้นอย่างเจตนาร้ายอาจยุติกระบวนการ
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2026-20690: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro
CoreUtils
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2026-28886: Etienne Charron (Renault) และ Victoria Martini (Renault)
Crash Reporter
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน
CVE-2026-28878: Zhongcheng Li จาก IES Red Team
curl
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: พบปัญหาใน curl ซึ่งอาจส่งผลให้ส่งข้อมูลสำคัญโดยไม่ตั้งใจผ่านการเชื่อมต่อที่ไม่ถูกต้อง
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2025-14524
GeoServices
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ข้อมูลรั่วไหลได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2026-28870: XiguaSec
ImageIO
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2025-64505
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น
CVE-2026-28868: 이동하 (Lee Dong Ha จาก BoB 0xB6)
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการยืนยันตัวตนที่มีประสิทธิภาพมากขึ้น
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2026-20698: DARKNAVY (@DarkNavyOrg)
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2026-20687: Johnny Franks (@zeroxjf)
libxpc
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2026-28882: Ilias Morad (A2nkF) จาก Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Sandbox Profiles
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2026-28863: Gongyu Ma (@Mezone0)
Security
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีจากในระบบอาจสามารถเข้าถึงรายการในพวงกุญแจของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น
CVE-2026-28864: Alex Radocea
Siri
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ที่ล็อคอาจสามารถดูข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น
CVE-2026-28856: นักวิจัยนิรนาม
UIFoundation
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2026-28852: Caspian Tarafdar
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถประมวลผลเนื้อหาเว็บที่ถูกจำกัดนอกแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 308248
CVE-2026-28859: greenbynox, Arni Hardarson
WebKit Sandboxing
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 306827
CVE-2026-20691: Gongyu Ma (@Mezone0)
คำขอบคุณพิเศษ
AirPort
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii
Bluetooth
เราขอขอบคุณสำหรับความช่วยเหลือจาก Hamid Mahmoud
Captive Network
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kun Peeks (@SwayZGl1tZyyy)
CloudAttestation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Suresh Sundaram, Willard Jansen
CoreUI
เราขอขอบคุณสำหรับความช่วยเหลือจาก Peter Malone
Find My
เราขอขอบคุณความช่วยเหลือจาก Salemdomain
GPU Drivers
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jian Lee (@speedyfriend433)
ICU
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jian Lee (@speedyfriend433)
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville จาก Fuzzinglabs, Patrick Ventuzelo จาก Fuzzinglabs, Robert Tran, Suresh Sundaram
libarchive
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andreas Jaegersberger และ Ro Achterberg จาก Nosebeard Labs, Arni Hardarson
libc
เราขอขอบคุณสำหรับความช่วยเหลือจาก Vitaly Simonovich
Libnotify
เราขอขอบคุณสำหรับความช่วยเหลือจาก Morad (@A2nkF_)
LLVM
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)
Messages
เราขอขอบคุณสำหรับความช่วยเหลือจาก JZ
MobileInstallation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gongyu Ma (@Mezone0)
ppp
เราขอขอบคุณ Dave G. ที่ให้ความช่วยเหลือ
Quick Look
เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Regula จาก SecuRing (wojciechregula.blog) นักวิจัยนิรนาม
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair
Shortcuts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Waleed Barakat (@WilDN00B) และ Paul Montgomery (@nullevent)
Siri
เราขอขอบคุณสำหรับความช่วยเหลือจาก Anand Mallaya ที่ปรึกษาด้านเทคโนโลยี, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar ผู้ประกอบอาชีพอิสระ
Spotlight
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman
Time Zone
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Safran Mumbai India
UIKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก AEC, Abhay Kailasia (@abhay_kailasia) จาก Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (ทบวงทหารเรือสหรัฐ), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp
Wallet
เราขอขอบคุณสำหรับความช่วยเหลือจาก Zhongcheng Li from IES Red Team จาก ByteDance
Web Extensions
เราขอขอบคุณสำหรับความช่วยเหลือจาก Carlos Jeurissen, Rob Wu (robwu.nl)
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Vamshi Paili
WebKit Process Model
เราขอขอบคุณสำหรับความช่วยเหลือจาก Joseph Semaan
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kun Peeks (@SwayZGl1tZyyy) นักวิจัยนิรนาม
Wi-Fi Connectivity
เราขอขอบคุณสำหรับความช่วยเหลือจาก Alex Radocea จาก Supernetworks, Inc
Widgets
เราขอขอบคุณสำหรับความช่วยเหลือจาก Marcel Voß, Mitul Pranjay, Serok Çelik
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม