เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.2.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 5.2.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 5.2.1

เปิดตัวเมื่อวันที่ 13 พฤษภาคม 2019

AppleFileConduit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8593: Dany Lisiansky (@DanyL931)

CoreAudio

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8585: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ภาพดิสก์

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8560: Nikita Pupyshev จาก Bauman Moscow State Technological University

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8605: Ned Williamson ที่ทำงานร่วมกับ Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8576: Brandon Azad จาก Google Project Zero, unho Jang และ Hanul Choi จาก LINE Security Team

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือเขียนหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8591: Ned Williamson ที่ทำงานร่วมกับ Google Project Zero

เมล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8626: Natalie Silvanovich จาก Google Project Zero

เฟรมเวิร์กข้อความเมล

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8613: Natalie Silvanovich จาก Google Project Zero

MobileInstallation

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการซิมลิงก์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของซิมลิงก์ให้ดียิ่งขึ้น

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8577: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8600: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8598: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2019-8602: Omer Gull จาก Checkpoint Research

sysdiagnose

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8574: Dayton Pidhirney (@_watbulb) จาก Seekintoo (@seekintoo)

WebKit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8607: Junho Jang และ Hanul Choi จาก LINE Security Team

WebKit

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8583: sakura จาก Tencent Xuanwu Lab, jessica (@babyjess1ca_) จาก Tencent Keen Lab และ dwfault ที่ทำงานที่ ADLab ของ Venustech

CVE-2019-8601: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8622: Samuel Groß จาก Google Project Zero

CVE-2019-8623: Samuel Groß จาก Google Project Zero

Wi-Fi

มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ WiFi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8620: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

คำขอบคุณพิเศษ

Clang

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero

CoreFoundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vozzie และ Rami และ m4bln, Xiangqian Zhang, Huiming Liu จาก Xuanwu Lab ของ Tencent

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero และนักวิจัยนิรนาม

MediaLibrary

เราขอขอบคุณสำหรับความช่วยเหลือจาก Angel Ramirez และ Min (Spark) Zheng, Xiaolong Bai จาก Alibaba Inc.

MobileInstallation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: