เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 2

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ ให้ใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการดูเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดูการอัปเดตความปลอดภัยของ Apple

watchOS 2

  • Apple Pay

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: บัตรบางใบอาจอนุญาตให้เทอร์มินัลดึงข้อมูลธุรกรรมล่าสุดได้เพียงบางส่วนเมื่อทําการชําระเงิน

    คําอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกําหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก

    CVE-ID

    CVE-2015-5916

  • Audio

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch, และ Apple Watch Edition

    ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาหน่วยความจําเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5862 : YoungJin Yoon จาก Information Security Lab (ที่ปรึกษา: ศ. Taekyoung Kwon), Yonsei University, กรุงโซล เกาหลี

  • Certificate Trust Policy

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: อัปเดตนโยบายการเชื่อถือใบรับรอง

    คำอธิบาย: มีการอัปเดตนโยบายการเชื่อถือใบรับรอง คุณสามารถดูรายชื่อใบรับรองทั้งหมดได้ที่ https://support.apple.com/HT204873

  • CFNetwork

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในตําแหน่งที่มีสิทธิพิเศษในเครือข่ายอาจดักจับการเชื่อมต่อ SSL/TLS

    คําอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของใบรับรองใน NSURL เมื่อเปลี่ยนใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5824 : Timothy J. Wood จาก The Omni Group

  • CFNetwork

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การเชื่อมต่อกับเว็บพร็อกซีที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสําหรับเว็บไซต์

    คําอธิบาย: มีปัญหาในการจัดการกับการตอบสนองจากการเชื่อมต่อพร็อกซี ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ

    CVE-ID

    CVE-2015-5841 : Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในตําแหน่งที่มีสิทธิพิเศษในเครือข่ายสามารถติดตามกิจกรรมของผู้ใช้

    คําอธิบาย: มีปัญหาเกี่ยวกับคุกกี้แบบข้ามโดเมนในการจัดการกับโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้

    CVE-ID

    CVE-2015-5885 : Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: บุคคลที่เข้าถึงตัวอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอป Apple ได้

    คําอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยคีย์ที่ป้องกันโดย UID ของฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยกุญแจที่ป้องกันโดย UID ของฮาร์ดแวร์และรหัสผ่านของผู้ใช้

    CVE-ID

    CVE-2015-5898 : Andreas Kurtz จาก NESO Security Labs

  • CoreCrypto

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีอาจสามารถระบุคีย์ส่วนตัวได้

    คําอธิบาย: ผู้โจมตีอาจสามารถระบุคีย์ส่วนตัว RSA ได้โดยการเฝ้าสังเกตในขณะเซ็นหรือถอดรหัสหลายๆ ครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น

  • CoreText

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลไฟล์ฟอนต์ที่ออกแบบมาโดยมีจุดประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในการประมวลผลไฟล์ฟอนต์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

    คําอธิบาย: มีปัญหาความเสียหายของหน่วยความจําในการประมวลผลไฟล์ข้อความ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5829 : M1x7e1 จาก Safeye Team (www.safeye.org)

  • Dev Tools

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5876 : beist จาก grayhash

  • Disk Images

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน DiskImages ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอปพลิเคชันอาจเลี่ยงการเซ็นโค้ด

    คำอธิบาย: มีปัญหากับการตรวจสอบความถูกต้องของลายเซ็นโค้ดของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายหลายปัญหาในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5918 : Apple

    CVE-2015-5919 : Apple

  • ICU

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ช่องโหว่หลายจุดใน ICU

    คําอธิบาย: มีช่องโหว่หลายจุดใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต ICU เป็นเวอร์ชั่น 55.1

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand จาก Google Project Zero

  • IOAcceleratorFamily

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถกําหนดเค้าโครงหน่วยความจําเคอร์เนลได้

    คําอธิบาย: มีปัญหาที่นําไปสู่การเปิดเผยเนื้อหาหน่วยความจําเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5834 : Cererdlong จาก Alibaba Mobile Security Team

  • IOAcceleratorFamily

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5848 : Filippo Bigarella

  • IOKit

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845 : Filippo Bigarella

    CVE-2015-5846 : Filippo Bigarella

  • IOMobileFrameBuffer

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์ของระบบ

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5843 : Filippo Bigarella

  • IOStorageFamily

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่ใช้อุปกรณ์อาจสามารถอ่านหน่วยความจําเคอร์เนล

    คําอธิบาย: มีปัญหาการเริ่มต้นการทำงานของหน่วยความจําในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5863 : Ilja van Sprundel จาก IOActive

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5868 : Cererdlong จาก Alibaba Mobile Security Team

    CVE-2015-5896 : Maxime Villard จาก m00nbsd

    CVE-2015-5903 : CESG

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่ใช้อุปกรณ์อาจควบคุมค่าของคุกกี้สแต็ค

    คำอธิบาย: มีจุดอ่อนหลายจุดในการสร้างคุกกี้สแต็คในพื้นที่ของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็คให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-3951 : Stefan Esser

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: กระบวนการในอุปกรณ์สามารถแก้ไขกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์

    คําอธิบาย: มีปัญหาเกิดขึ้นเมื่อกระบวนการระดับรูทที่ใช้ processor_set_tasks API ได้รับอนุญาตให้ดึงข้อมูลพอร์ตงานของกระบวนการอื่น ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม

    CVE-ID

    CVE-2015-5882 : Pedro Vilaça ทำงานโดยอาศัยงานวิจัยเดิมของ Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในส่วน LAN ในอุปกรณ์อาจปิดการรกําหนดเส้นทางแบบ IPv6

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องไม่เพียงพอในการจัดการ Router Advertisement (RA) ของ IPv6 ที่อนุญาตให้ผู้โจมตีตั้งค่าขีดจํากัดในการฮ็อปโดยพลการ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด

    CVE-ID

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถระบุเลย์เอาท์ของหน่วยความจําเคอร์เนล

    คําอธิบาย: มีปัญหาใน XNU ที่นําไปสู่การเปิดเผยหน่วยความจําเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานโครงสร้างหน่วยความจำเคอร์เนลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5842 : beist จาก grayhash

  • Kernel

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถทําให้เกิดการปฏิเสธการให้บริการของระบบ

    คําอธิบาย: มีปัญหาในการติดตั้งไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม

    CVE-ID

    CVE-2015-5748 : Maxime Villard จาก m00nbsd

  • libpthread

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจสามารถรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนล

    คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5899 : Lufeng Li จาก Qihoo 360 Vulcan Team

  • PluginKit

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอปพลิเคชันองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่จะได้รับการเชื่อถือ

    คําอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอปให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei of FireEye, Inc.

  • removefile

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

    คําอธิบาย: มีข้อผิดพลาดโอเวอร์โฟลว์อยู่ในการแบ่ง checkint ที่ดำเนินการเป็นประจำ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแบ่งที่ดำเนินการเป็นประจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5840 : นักวิจัยนิรนาม

  • SQLite

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ช่องโหว่หลายจุดใน SQLite v3.8.5

    คําอธิบาย: มีช่องโหว่หลายจุดใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต SQLite เป็นเวอร์ชั่น 3.8.10.2

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    อุปกรณ์ที่อาจได้รับผลกระทบ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการ

    คำอธิบาย: มีปัญหาหน่วยความจําเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขผ่านการจัดการหน่วยความจำที่ดีขึ้น

    CVE-ID

    CVE-2015-5522 : Fernando Muñoz จาก NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz จาก NULLGroup.com

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: