เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 3.2.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 3.2.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 3.2.2

เปิดตัวเมื่อวันที่ 15 พฤษภาคม 2017

AVEVideoEncoder

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-6989: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6994: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6995: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6996: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6997: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6998: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

CVE-2017-6999: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

CoreAudio

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบยืนยันได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-2502: Yangkang (@dnpushme) จาก Qihoo360 Qex Team

CoreFoundation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2522: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 19 พฤษภาคม 2017

CoreText

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7003: Jake Davis จาก SPYSCAPE (@DoubleJake)

เพิ่มรายการเมื่อวันที่ 31 พฤษภาคม 2017

Foundation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2523: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 19 พฤษภาคม 2017

IOSurface

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2017-6979: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2017-2501: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบยืนยันได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-2507: Ian Beer จาก Google Project Zero

CVE-2017-6987: Patrick Wardle จาก Synack

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2513: ค้นพบโดย OSS-Fuzz

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2518: ค้นพบโดย OSS-Fuzz

CVE-2017-2520: ค้นพบโดย OSS-Fuzz

SQLite

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2519: ค้นพบโดย OSS-Fuzz

TextInput

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การแยกวิเคราะห์ข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2524: Ian Beer จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2521: lokihardt จาก Google Project Zero

คำขอบคุณพิเศษ

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Orr A. จาก Aleph Research, HCL Technologies

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ian Beer จาก Google Project Zero

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: