เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 4.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 4.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 4.1

เปิดตัวเมื่อวันที่ 31 ตุลาคม 2017

CoreText

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13849: Ro จาก SavSec

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13799: Lufeng Li จาก Qihoo 360 Vulcan Team

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้

คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลขั้นตอนที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการจำกัดอัตรา

CVE-2017-13852: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

StreamingZip

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ไฟล์ zip ที่ประสงค์ร้ายอาจสามารถแก้ไขพื้นที่ที่ถูกจำกัดไว้ของระบบไฟล์ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-13804: @qwertyoruiopz จาก KJC Research Intl. S.R.L.

Wi-Fi

ไม่มี Apple Watch รุ่นใดได้รับผลกระทบจากช่องโหว่นี้

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ยูนิคาสต์ WPA/PTK ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13077: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

CVE-2017-13078: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

อัพเดทรายการเมื่อวันที่ 3 พฤศจิกายน 2017

Wi-Fi

มีให้สำหรับ: Apple Watch Series 1 และ Apple Watch Series 2

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

อัพเดทรายการเมื่อวันที่ 3 พฤศจิกายน 2017

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: