เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple ให้ดูเว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู  การอัพเดทความปลอดภัยของ Apple

watchOS 2

  • Apple Pay

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การ์ดบางอย่างอาจอนุญาตให้เทอร์มินัลดึงข้อมูลการทำธุรกรรมแบบจำกัดล่าสุดเมื่อทำการชำระเงิน

    คำอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกำหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก

    CVE-ID

    CVE-2015-5916

  • เสียง

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5862: YoungJin Yoon จาก Information Security Lab (Adv.: Prof. Taekyoung Kwon), Yonsei University, กรุงโซล ประเทศเกาหลี

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: อัปเดตให้เป็นไปนโยบายความน่าเชื่อถือของใบรับรอง

    คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัปเดต สามารถดูรายชื่อใบรับรองทั้งหมดได้ที่ https://support.apple.com/kb/HT204873?viewlocale=th_TH

  • CFNetwork

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับการเชื่อมต่อ SSL/TLS ได้

    คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองใน NSURL เมื่อมีการเปลี่ยนแปลงใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5824: Timothy J. Wood จาก The Omni Group

  • CFNetwork

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การเชื่อมต่อกับเว็บพร็อกซี่ที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสำหรับเว็บไซต์

    คำอธิบาย: มีปัญหาในการจัดการการตอบสนองของการเชื่อมต่อพร็อกซี่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้

    คำอธิบาย: มีปัญหาคุกกี้ระหว่างโดเมนในการจัดการโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University

  • CFNetwork

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอพของ Apple ได้

    คำอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยคีย์ที่มีการป้องกันโดย UID ของ ฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยคีย์ที่มีการป้องกันโดย UID ของฮาร์ดแวร์ และรหัสผ่านของผู้ใช้

    CVE-ID

    CVE-2015-5898: Andreas Kurtz จาก NESO Security Labs

  • CoreCrypto

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีอาจสามารถตรวจหาคีย์ส่วนตัวได้

    คำอธิบาย: ผู้โจมตีอาจสามารถตรวจหาคีย์ส่วนตัว RSA ได้ โดยการสังเกตความพยายามในการลงชื่อหรือการถอดรหัสหลายครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น

  • CoreText

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-587: John Villamil (@day6reak), Yahoo Pentest Team

  • โปรแกรมตัวตรวจจับข้อมูล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ข้อความ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขต

    CVE-ID

    CVE-2015-5829: M1x7e1 จาก Safeye Team (www.safeye.org)

  • Dev Tools

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5876: beist จาก grayhash

  • ภาพดิสก์

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายในภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการลงชื่อรหัสได้

    คำอธิบาย: มีปัญหาในการตรวจสอบลายเซ็นรหัสของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ช่องโหว่จำนวนมากใน ICU

    คำอธิบาย: มีช่องโหว่จำนวนมากใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท ICU เป็นเวอร์ชั่น 55.1

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5834: Cererdlong จาก Alibaba Mobile Security Team

  • IOAcceleratorFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาการเริ่มต้นของหน่วยความจำในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel จาก IOActive

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5868: Cererdlong จาก Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard จาก m00nbsd

    CVE-2015-5903: CESG

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในระบบอาจควบคุมค่าของคุกกี้สแต็ค

    คำอธิบาย: มีจุดอ่อนมากมายในการสร้างคุกกี้สแต็คของพื้นที่ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็ค

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: กระบวนการในระบบสามารถปรับเปลี่ยนกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์

    คำอธิบาย: มีปัญหาเมื่อกระบวนการระดับรูทที่ใช้ processor_set_tasks API ได้รับอนุญาตให้เรียกพอร์ตงานของกระบวนการอื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม

    CVE-ID

    CVE-2015-5882: Pedro Vilaça ซึ่งทำงานจากการวิจัยเดิมโดย Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้โจมตีในส่วน LAN ในระบบอาจปิดใช้งานการกำหนดเส้นทาง IPv6

    คำอธิบาย: มีปัญหาการตรวจสอบที่ไม่เพียงพอในการจัดการการเผยแพร่เราเตอร์ IPv6 ที่อนุญาตให้ผู้โจมตีกำหนดขีดจำกัด hop เป็นค่าตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน XNU ที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเริ่มต้นของโครงสร้างหน่วยความจำเคอร์เนล

    CVE-ID

    CVE-2015-5842: beist จาก grayhash

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

    คำอธิบาย: มีปัญหาในการต่อเชื่อมไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม

    CVE-ID

    CVE-2015-5748: Maxime Villard จาก m00nbsd

  • libpthread

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5899: Lufeng Li จาก Qihoo 360 Vulcan Team

  • PluginKit

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: แอพพลิเคชั่นระดับองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่แอพพลิเคชั่นจะได้รับความเชื่อถือ

    คำอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอพให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.

  • removefile

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

    คำอธิบาย: ความผิดพลาดการล้นเกินในรูทีนการหาร checkint ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงรูทีนการหารให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5840: นักวิจัยที่ไม่ประสงค์ออกนาม

  • SQLite

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: ช่องโหว่จำนวนมากใน SQLite v3.8.5

    คำอธิบาย: มีช่องโหว่จำนวนมากใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท SQLite เป็นเวอร์ชั่น 3.8.10.2

    CVE-ID

    CVE-2015-5895

  • tidy

    มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5522: Fernando Muñoz จาก NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz จาก NULLGroup.com

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: