เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 4.2.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 4.2.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

watchOS 4.2.2

เปิดตัวเมื่อวันที่ 23 มกราคม 2018

เสียง

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin และ Taekyoung Kwon จาก Information Security Lab, Yonsei University

เพิ่มรายการเมื่อวันที่ 16 พฤศจิกายน 2018

Core Bluetooth

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4087: Rani Idan (@raniXCH) จาก Zimperium zLabs Team

CVE-2018-4095: Rani Idan (@raniXCH) จาก Zimperium zLabs Team

ไดรเวอร์กราฟิก

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4109: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

เพิ่มรายการเมื่อวันที่ 8 กุมภาพันธ์ 2018

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4090: Jann Horn จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2018-4092: Stefan Esser จาก Antid0te UG

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4082: Russ Cox จาก Google

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4093: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4189: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

LinkPresentation

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4100: Abraham Masri @cheesecakeufo

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

QuartzCore

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลคอนเทนต์เว็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4085: Ret2 Systems Inc. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

ความปลอดภัย

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: ใบรับรองอาจมีการปรับใช้ข้อจำกัดเกี่ยวกับชื่อไม่ถูกต้อง

คำอธิบาย: มีปัญหาการประเมินใบรับรองในการจัดการข้อจำกัดเกี่ยวกับชื่อ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการประเมินความน่าเชื่อถือของใบรับรองให้ดียิ่งขึ้น

CVE-2018-4086: Ian Haken จาก Netflix

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4088: Jeonghoon Shin จาก Theori

CVE-2018-4096: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Apple Watch ทุกรุ่น

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4147: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 1 ตุลาคม 2018

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 12 ธันวาคม 2561

เป็นประโยชน์ไหม