เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 4.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 4.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
watchOS 4.1
CoreText
มีให้สำหรับ: Apple Watch ทุกรุ่น
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13849: Ro จาก SavSec
เคอร์เนล
มีให้สำหรับ: Apple Watch ทุกรุ่น
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13799: Lufeng Li จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: Apple Watch ทุกรุ่น
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้
คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลขั้นตอนที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการจำกัดอัตรา
CVE-2017-13852: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University
StreamingZip
มีให้สำหรับ: Apple Watch ทุกรุ่น
ผลกระทบ: ไฟล์ zip ที่ประสงค์ร้ายอาจสามารถแก้ไขพื้นที่ที่ถูกจำกัดไว้ของระบบไฟล์ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-13804: @qwertyoruiopz จาก KJC Research Intl. S.R.L.
Wi-Fi
ไม่มี Apple Watch รุ่นใดได้รับผลกระทบจากช่องโหว่นี้
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ยูนิคาสต์ WPA/PTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13077: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
CVE-2017-13078: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
Wi-Fi
มีให้สำหรับ: Apple Watch Series 1 และ Apple Watch Series 2
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม