เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 6

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 6

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 6

เปิดตัวเมื่อวันที่ 19 กันยายน 2019

เสียง

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8706: Yu Zhou จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เสียง

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019

CFNetwork

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8753: Łukasz Pilorz จาก Standard Chartered GBS Poland

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CoreAudio

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

CoreCrypto

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลอินพุตขนาดใหญ่อาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8741: Nicky Mouha จาก NIST

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Foundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8746: natashenka และ Samuel Groß จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019 อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

IOUSBDeviceFamily

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8718: Joshua Hill และ Sem Voigtländer

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2019-8703: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8740: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพเฉพาะที่อาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8809: Apple

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8712: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

libxml2

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8749: พบโดย OSS-Fuzz

CVE-2019-8756: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

mDNSResponder

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงทางกายภาพอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม

CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

UIFoundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

UIFoundation

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

WebKit

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8710: พบโดย OSS-Fuzz

CVE-2019-8728: Junho Jang จาก LINE Security Team และ Hanul Choi จาก ABLY Corporation

CVE-2019-8734: พบโดย OSS-Fuzz

CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8773: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Wi-Fi

มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8854: Ta-Lun Yen จาก UCCU Hacker และ FuriousMacTeam จาก United States Naval Academy และ Mitre Cooperation

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019

คำขอบคุณพิเศษ

เสียง

เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

boringssl

เราขอขอบคุณสำหรับความช่วยเหลือจาก Thijs Alkemade (@xnyhps) จาก Computest

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

HomeKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tian Zhang

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

โปรไฟล์

เราขอขอบคุณสำหรับความช่วยเหลือจาก Erik Johnson จาก Vernon Hills High School, James Seeley (@Code4iOS) จาก Shriver Job Corps

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019 อัพเดทรายการเมื่อวันที่ 4 เมษายน 2020

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก MinJeong Kim จาก Information Security Lab, Chungnam National University, JaeCheol Ryou จาก Information Security Lab, Chungnam National University ในเกาหลีใต้, cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: