เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 2.1

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 2.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

watchOS 2.1

  • AppSandbox

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจคงการเข้าถึงแอพรายชื่อเอาไว้หลังจากที่ได้เพิกถอนการเข้าถึงไปแล้ว

    คำอธิบาย: มีปัญหาในการจัดการฮาร์ดลิงก์ของ Sandbox ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการปิดช่องโหว่ของ Sandbox ของแอพให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7001: Razvan Deaconescu และ Mihai Bucicoiu จาก University POLITEHNICA ใน Bucharest; Luke Deshotels และ William Enck จาก North Carolina State University; Lucas Vincenzo Davi และ Ahmad-Reza Sadeghi จาก TU Darmstadt

  • การบีบอัด

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานใน zlib ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบสตรีม Zlib เพิ่มเติม

    CVE-ID

    CVE-2015-7054: j00ru

  • CoreGraphics

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์สื่อที่มีรูปแบบผิดปกติ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7075

  • dyld

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบเซ็กเมนต์ใน dyld ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7072: Apple

  • FontParser

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากในการประมวลผลไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6978: Jaanus Kp, Clarified Security ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • GasGauge

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6979: PanguTeam

  • ImageIO

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน ImageIO ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7053: Apple

  • IOHIDFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน IOHIDFamily ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7111: beist และ ABH จาก BoB

    CVE-2015-7112: Ian Beer จาก Google Project Zero

  • IOKit SCSI

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์เคอร์เนล

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ userclient บางประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7068 : Ian Beer จาก Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7040: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ข้อความ Mach ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบข้อความ Mach ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7047: Ian Beer จาก Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7083: Ian Beer จาก Google Project Zero

    CVE-2015-7084: Ian Beer จาก Google Project Zero

  • LaunchServices

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์ plist ที่มีรูปแบบผิดปกติ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7113: Olivier Goguel จาก Free Tools Association

  • libarchive

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์เก็บถาวร ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากในไลบรารีภาษา C มาตรฐาน ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7038 : Brian D. Wells จาก E. W. Scripps,  Narayan Subramanian จาก Symantec Corporation/Veritas LLC

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    อัพเดทรายการเมื่อวันที่ 3 มีนาคม 2017

  • mDNSResponder

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: ปัญหาช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • OpenGL

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน OpenGL ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7064 : Apple

    CVE-2015-7066 : Tongbo Luo และ Bo Qu จาก Palo Alto Networks

  • Sandbox

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถเลี่ยงการสุ่มตำแหน่งเค้าโครงพื้นที่ว่างของที่อยู่เคอร์เนลได้

    คำอธิบาย: มีปัญหาการแบ่งสิทธิ์ไม่เพียงพอใน xnu ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7046: Apple

  • ความปลอดภัย

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการ SSL handshake ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7073: Benoit Foucher จาก ZeroC, Inc.

  • ความปลอดภัย

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในตัวถอดรหัส ASN.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7059: David Keeler จาก Mozilla

    CVE-2015-7060: Tyson Smith จาก Mozilla

    CVE-2015-7061: Ryan Sleevi จาก Google

  • ความปลอดภัย

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermès

    ผลกระทบ: การประเมินความเชื่อถือที่ถูกกำหนดค่าให้ต้องตรวจสอบการเพิกถอนอาจทำได้สำเร็จ แม้ว่าการตรวจสอบการเพิกถอนจะล้มเหลวก็ตาม

    คำอธิบาย: มีการระบุแฟล็ก kSecRevocationRequirePositiveResponse แต่ไม่มีการนำไปใช้งาน ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำแฟล็กไปใช้งาน

    CVE-ID

    CVE-2015-6997: Apple

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: