เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple ให้ดูเว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple
watchOS 2
Apple Pay
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การ์ดบางอย่างอาจอนุญาตให้เทอร์มินัลดึงข้อมูลการทำธุรกรรมแบบจำกัดล่าสุดเมื่อทำการชำระเงิน
คำอธิบาย: ฟังก์ชั่นบันทึกการทำธุรกรรมถูกเปิดใช้งานในการกำหนดค่าบางอย่าง ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นบันทึกการทำธุรกรรมออก
CVE-ID
CVE-2015-5916
เสียง
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การเล่นไฟล์เสียงที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์เสียง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5862: YoungJin Yoon จาก Information Security Lab (Adv.: Prof. Taekyoung Kwon), Yonsei University, กรุงโซล ประเทศเกาหลี
นโยบายความน่าเชื่อถือของใบรับรอง
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: อัปเดตให้เป็นไปนโยบายความน่าเชื่อถือของใบรับรอง
คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัปเดต สามารถดูรายชื่อใบรับรองทั้งหมดได้ที่ https://support.apple.com/kb/HT204873?viewlocale=th_TH
CFNetwork
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับการเชื่อมต่อ SSL/TLS ได้
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองใน NSURL เมื่อมีการเปลี่ยนแปลงใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5824: Timothy J. Wood จาก The Omni Group
CFNetwork
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การเชื่อมต่อกับเว็บพร็อกซี่ที่เป็นอันตรายอาจตั้งค่าคุกกี้ที่เป็นอันตรายสำหรับเว็บไซต์
คำอธิบาย: มีปัญหาในการจัดการการตอบสนองของการเชื่อมต่อพร็อกซี่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบส่วนหัว Set-Cookie ออกในขณะที่แยกวิเคราะห์การตอบสนองการเชื่อมต่อ
CVE-ID
CVE-2015-5841: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้
คำอธิบาย: มีปัญหาคุกกี้ระหว่างโดเมนในการจัดการโดเมนระดับบนสุด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการสร้างคุกกี้
CVE-ID
CVE-2015-5885: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University
CFNetwork
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS อาจอ่านข้อมูลแคชจากแอพของ Apple ได้
คำอธิบาย: ข้อมูลแคชถูกเข้ารหัสด้วยคีย์ที่มีการป้องกันโดย UID ของ ฮาร์ดแวร์เท่านั้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการเข้ารหัสข้อมูลแคชด้วยคีย์ที่มีการป้องกันโดย UID ของฮาร์ดแวร์ และรหัสผ่านของผู้ใช้
CVE-ID
CVE-2015-5898: Andreas Kurtz จาก NESO Security Labs
CoreCrypto
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีอาจสามารถตรวจหาคีย์ส่วนตัวได้
คำอธิบาย: ผู้โจมตีอาจสามารถตรวจหาคีย์ส่วนตัว RSA ได้ โดยการสังเกตความพยายามในการลงชื่อหรือการถอดรหัสหลายครั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้การปรับปรุงอัลกอริธึมการเข้ารหัสให้ดียิ่งขึ้น
CoreText
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-587: John Villamil (@day6reak), Yahoo Pentest Team
โปรแกรมตัวตรวจจับข้อมูล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ข้อความ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขต
CVE-ID
CVE-2015-5829: M1x7e1 จาก Safeye Team (www.safeye.org)
Dev Tools
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน dyld ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5876: beist จาก grayhash
ภาพดิสก์
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายในภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการลงชื่อรหัสได้
คำอธิบาย: มีปัญหาในการตรวจสอบลายเซ็นรหัสของไฟล์ปฏิบัติการ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ช่องโหว่จำนวนมากใน ICU
คำอธิบาย: มีช่องโหว่จำนวนมากใน ICU เวอร์ชั่นก่อน 53.1.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท ICU เป็นเวอร์ชั่น 55.1
CVE-ID
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5834: Cererdlong จาก Alibaba Mobile Security Team
IOAcceleratorFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOMobileFrameBuffer ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการเริ่มต้นของหน่วยความจำในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5863: Ilja van Sprundel จาก IOActive
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5868: Cererdlong จาก Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard จาก m00nbsd
CVE-2015-5903: CESG
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในระบบอาจควบคุมค่าของคุกกี้สแต็ค
คำอธิบาย: มีจุดอ่อนมากมายในการสร้างคุกกี้สแต็คของพื้นที่ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคุกกี้สแต็ค
CVE-ID
CVE-2013-3951: Stefan Esser
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: กระบวนการในระบบสามารถปรับเปลี่ยนกระบวนการอื่นๆ ได้โดยไม่ต้องตรวจสอบสิทธิ์
คำอธิบาย: มีปัญหาเมื่อกระบวนการระดับรูทที่ใช้ processor_set_tasks API ได้รับอนุญาตให้เรียกพอร์ตงานของกระบวนการอื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสิทธิ์เพิ่มเติม
CVE-ID
CVE-2015-5882: Pedro Vilaça ซึ่งทำงานจากการวิจัยเดิมโดย Ming-chieh Pan และ Sung-ting Tsai; Jonathan Levin
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้โจมตีในส่วน LAN ในระบบอาจปิดใช้งานการกำหนดเส้นทาง IPv6
คำอธิบาย: มีปัญหาการตรวจสอบที่ไม่เพียงพอในการจัดการการเผยแพร่เราเตอร์ IPv6 ที่อนุญาตให้ผู้โจมตีกำหนดขีดจำกัด hop เป็นค่าตามอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับใช้ขีดจำกัด hop ขั้นต่ำสุด
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน XNU ที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเริ่มต้นของโครงสร้างหน่วยความจำเคอร์เนล
CVE-ID
CVE-2015-5842: beist จาก grayhash
เคอร์เนล
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ
คำอธิบาย: มีปัญหาในการต่อเชื่อมไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการยืนยันเพิ่มเติม
CVE-ID
CVE-2015-5748: Maxime Villard จาก m00nbsd
libpthread
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5899: Lufeng Li จาก Qihoo 360 Vulcan Team
PluginKit
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: แอพพลิเคชั่นระดับองค์กรที่เป็นอันตรายสามารถติดตั้งส่วนขยายก่อนที่แอพพลิเคชั่นจะได้รับความเชื่อถือ
คำอธิบาย: มีปัญหาในการตรวจสอบส่วนขยายระหว่างการติดตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบแอพให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue และ Tao (Lenx) Wei จาก FireEye, Inc.
removefile
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: ความผิดพลาดการล้นเกินในรูทีนการหาร checkint ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงรูทีนการหารให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5840: นักวิจัยที่ไม่ประสงค์ออกนาม
SQLite
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: ช่องโหว่จำนวนมากใน SQLite v3.8.5
คำอธิบาย: มีช่องโหว่จำนวนมากใน SQLite v3.8.5 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท SQLite เป็นเวอร์ชั่น 3.8.10.2
CVE-ID
CVE-2015-5895
tidy
มีให้สำหรับ: Apple Watch Sport, Apple Watch และ Apple Watch Edition
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน Tidy ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-5522: Fernando Muñoz จาก NULLGroup.com
CVE-2015-5523 : Fernando Muñoz จาก NULLGroup.com