เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ watchOS 2.2

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

คุณสามารถดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

watchOS 2.2

  • ภาพดิสก์

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1717 : Frank Graziano จาก Yahoo! Pentest Team

  • FontParser

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1740 : HappilyCoded (ant4g0nist และ r3dsm0k3) ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • HTTPProtocol

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายแห่งใน nghttp2 เวอร์ชั่นก่อน 1.6.0 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท nghttp2 ให้เป็นเวอร์ชั่น 1.6.0

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1719 : Ian Beer จาก Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1748 : Brandon Azad

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1720 : Ian Beer จาก Google Project Zero

    CVE-2016-1721 : Ian Beer จาก Google Project Zero และ Ju Zhu จาก Trend Micro

    CVE-2016-1754 : Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2016-1755 : Ian Beer จาก Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาการใช้งานหลังให้ฟรีได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1750 : CESG

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1753 : Juwei Lin Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการลงชื่อรหัสได้

    คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตที่มีการให้สิทธิ์อนุญาตอย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1751 : Eric Monti จาก Square Mobile Security

  • เคอร์เนล

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1752 : CESG

  • libxml2

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312 : David Drysdale จาก Google

    CVE-2015-7499

    CVE-2015-7500 : Kostya Serebryany จาก Google

    CVE-2015-7942 : Kostya Serebryany จาก Google

    CVE-2015-8035 : gustavo.grieco

    CVE-2015-8242 : Hugh Davenport

    CVE-2016-1761 : wol0xff ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

    CVE-2016-1762

  • libxslt

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7995 : puzzor 

  • ข้อความ

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ผู้โจมตีอาจสามารถอ่านไฟล์แนบได้หากเขาสามารถลอดผ่านการปักหมุดใบรับรองของ Apple, ขัดขวางการเชื่อมต่อ TLS, แทรกข้อความ และบันทึกข้อความประเภทไฟล์แนบที่เข้ารหัสเอาไว้ได้

    คำอธิบาย: ปัญหาการเข้ารหัสได้รับการแก้ไขแล้วโดยการปฏิเสธข้อความซํ้าในไคลเอนต์

    CVE-ID

    CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers และ Michael Rushanan จาก Johns Hopkins University

  • ความปลอดภัย

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลแพ็คเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1950 : Francis Gabriel จาก Quarkslab

  • syslog

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1722 : Joshua J. Drake และ Nikias Bassen จาก Zimperium zLabs

  • TrueTypeScaler

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1775 : 0x1byte ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • WebKit

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: การประมวลผลเนื้อหาเว็บที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1723 : Apple

    CVE-2016-1724 : Apple

    CVE-2016-1725 : Apple

    CVE-2016-1726 : Apple

    CVE-2016-1727 : Apple

  • Wi-Fi

    มีให้สำหรับ: Apple Watch Sport, Apple Watch, Apple Watch Edition และ Apple Watch Hermes

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบเฟรมและหน่วยความจำเสียหายสำหรับ ethertype ที่กำหนด ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบ ethertype เพิ่มเติมและปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-0801 : นักวิจัยนิรนาม

    CVE-2016-0802 : นักวิจัยนิรนาม

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: