เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 2
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ ให้ใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการดูเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดูการอัปเดตความปลอดภัยของ Apple
watchOS 2
Apple Pay
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: บัตรบางใบอาจอนุญาตให้เทอร์มินัลดึงข้อมูลธุรกรรมล่าสุดได้เพียงบางส่วนเมื่อทําการชําระเงิน
คําอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกําหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก
CVE-ID
CVE-2015-5916
Audio
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch, และ Apple Watch Edition
ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: มีปัญหาหน่วยความจําเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5862 : YoungJin Yoon จาก Information Security Lab (ที่ปรึกษา: ศ. Taekyoung Kwon), Yonsei University, กรุงโซล เกาหลี
Certificate Trust Policy
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: อัปเดตนโยบายการเชื่อถือใบรับรอง
คำอธิบาย: มีการอัปเดตนโยบายการเชื่อถือใบรับรอง คุณสามารถดูรายชื่อใบรับรองทั้งหมดได้ที่ https://support.apple.com/HT204873
CFNetwork
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในตําแหน่งที่มีสิทธิพิเศษในเครือข่ายอาจดักจับการเชื่อมต่อ SSL/TLS
คําอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของใบรับรองใน NSURL เมื่อเปลี่ยนใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5824 : Timothy J. Wood จาก The Omni Group
CFNetwork
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การเชื่อมต่อกับเว็บพร็อกซีที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสําหรับเว็บไซต์
คําอธิบาย: มีปัญหาในการจัดการกับการตอบสนองจากการเชื่อมต่อพร็อกซี ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ
CVE-ID
CVE-2015-5841 : Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในตําแหน่งที่มีสิทธิพิเศษในเครือข่ายสามารถติดตามกิจกรรมของผู้ใช้
คําอธิบาย: มีปัญหาเกี่ยวกับคุกกี้แบบข้ามโดเมนในการจัดการกับโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้
CVE-ID
CVE-2015-5885 : Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: บุคคลที่เข้าถึงตัวอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอป Apple ได้
คําอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยคีย์ที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสผ่านของผู้ใช้
CVE-ID
CVE-2015-5898 : Andreas Kurtz จาก NESO Security Labs
CoreCrypto
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีอาจสามารถระบุคีย์ส่วนตัวได้
คําอธิบาย: ผู้โจมตีอาจสามารถระบุคีย์ส่วนตัว RSA ได้โดยการเฝ้าสังเกตในขณะเซ็นหรือถอดรหัสหลายๆ ครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น
CoreText
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลไฟล์ฟอนต์ที่ออกแบบมาโดยมีจุดประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในการประมวลผลไฟล์ฟอนต์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาความเสียหายของหน่วยความจําในการประมวลผลไฟล์ข้อความ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5829 : M1x7e1 จาก Safeye Team (www.safeye.org)
Dev Tools
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5876 : beist จาก grayhash
Disk Images
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน DiskImages ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอปพลิเคชันอาจเลี่ยงการเซ็นโค้ด
คำอธิบาย: มีปัญหากับการตรวจสอบความถูกต้องของลายเซ็นโค้ดของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team
GasGauge
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายหลายปัญหาในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5918 : Apple
CVE-2015-5919 : Apple
ICU
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ช่องโหว่หลายจุดใน ICU
คําอธิบาย: มีช่องโหว่หลายจุดใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต ICU เป็นเวอร์ชั่น 55.1
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand จาก Google Project Zero
IOAcceleratorFamily
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถกําหนดเค้าโครงหน่วยความจําเคอร์เนลได้
คําอธิบาย: มีปัญหาที่นําไปสู่การเปิดเผยเนื้อหาหน่วยความจําเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5834 : Cererdlong จาก Alibaba Mobile Security Team
IOAcceleratorFamily
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5848 : Filippo Bigarella
IOKit
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5844 : Filippo Bigarella
CVE-2015-5845 : Filippo Bigarella
CVE-2015-5846 : Filippo Bigarella
IOMobileFrameBuffer
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5843 : Filippo Bigarella
IOStorageFamily
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่ใช้อุปกรณ์อาจสามารถอ่านหน่วยความจําเคอร์เนล
คําอธิบาย: มีปัญหาการเริ่มต้นการทำงานของหน่วยความจําในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5863 : Ilja van Sprundel จาก IOActive
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5868 : Cererdlong จาก Alibaba Mobile Security Team
CVE-2015-5896 : Maxime Villard จาก m00nbsd
CVE-2015-5903 : CESG
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่ใช้อุปกรณ์อาจควบคุมค่าของคุกกี้สแต็ค
คำอธิบาย: มีจุดอ่อนหลายจุดในการสร้างคุกกี้สแต็คในพื้นที่ของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็คให้ดียิ่งขึ้น
CVE-ID
CVE-2013-3951 : Stefan Esser
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: กระบวนการในอุปกรณ์สามารถแก้ไขกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์
คําอธิบาย: มีปัญหาเกิดขึ้นเมื่อกระบวนการระดับรูทที่ใช้ processor_set_tasks API ได้รับอนุญาตให้ดึงข้อมูลพอร์ตงานของกระบวนการอื่น ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม
CVE-ID
CVE-2015-5882 : Pedro Vilaça ทำงานโดยอาศัยงานวิจัยเดิมของ Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในส่วน LAN ในอุปกรณ์อาจปิดการรกําหนดเส้นทางแบบ IPv6
คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องไม่เพียงพอในการจัดการ Router Advertisement (RA) ของ IPv6 ที่อนุญาตให้ผู้โจมตีตั้งค่าขีดจํากัดในการฮ็อปโดยพลการ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด
CVE-ID
CVE-2015-5869 : Dennis Spindel Ljungmark
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถระบุเลย์เอาท์ของหน่วยความจําเคอร์เนล
คําอธิบาย: มีปัญหาใน XNU ที่นําไปสู่การเปิดเผยหน่วยความจําเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานโครงสร้างหน่วยความจำเคอร์เนลให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5842 : beist จาก grayhash
Kernel
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถทําให้เกิดการปฏิเสธการให้บริการของระบบ
คําอธิบาย: มีปัญหาในการติดตั้งไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม
CVE-ID
CVE-2015-5748 : Maxime Villard จาก m00nbsd
libpthread
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5899 : Lufeng Li จาก Qihoo 360 Vulcan Team
PluginKit
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอปพลิเคชันองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่จะได้รับการเชื่อถือ
คําอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอปให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5837 : Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei of FireEye, Inc.
removefile
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คําอธิบาย: มีข้อผิดพลาดโอเวอร์โฟลว์อยู่ในการแบ่ง checkint ที่ดำเนินการเป็นประจำ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแบ่งที่ดำเนินการเป็นประจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5840 : นักวิจัยนิรนาม
SQLite
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ช่องโหว่หลายจุดใน SQLite v3.8.5
คําอธิบาย: มีช่องโหว่หลายจุดใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต SQLite เป็นเวอร์ชั่น 3.8.10.2
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการ
คำอธิบาย: มีปัญหาหน่วยความจําเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขผ่านการจัดการหน่วยความจำที่ดีขึ้น
CVE-ID
CVE-2015-5522 : Fernando Muñoz จาก NULLGroup.com
CVE-2015-5523 : Fernando Muñoz จาก NULLGroup.com
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม