เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 6
เปิดตัวเมื่อวันที่ 19 กันยายน 2019
เสียง
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เสียง
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019
CFNetwork
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8753: Łukasz Pilorz จาก Standard Chartered GBS Poland
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
CoreAudio
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
CoreCrypto
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลอินพุตขนาดใหญ่อาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8741: Nicky Mouha จาก NIST
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
Foundation
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8746: Natalie Silvanovich และ Samuel Groß จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019 อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020
IOUSBDeviceFamily
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8718: Joshua Hill และ Sem Voigtländer
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8740: Mohamed Ghannam (@_simo36)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพเฉพาะที่อาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8809: Apple
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8712: Mohamed Ghannam (@_simo36)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8717: Jann Horn จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
libxml2
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: มีปัญหาหลายประการใน libxml2
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8749: พบโดย OSS-Fuzz
CVE-2019-8756: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
mDNSResponder
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงทางกายภาพอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม
CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
UIFoundation
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
UIFoundation
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019
WebKit
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8710: พบโดย OSS-Fuzz
CVE-2019-8728: Junho Jang จาก LINE Security Team และ Hanul Choi จาก ABLY Corporation
CVE-2019-8734: พบโดย OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8773: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
Wi-Fi
มีให้สำหรับ: Apple Watch Series 3 และใหม่กว่า
ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ
CVE-2019-8854: Ta-Lun Yen จาก UCCU Hacker และ FuriousMacTeam จาก United States Naval Academy และ Mitre Cooperation
เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019
คำขอบคุณพิเศษ
เสียง
เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
boringssl
เราขอขอบคุณสำหรับความช่วยเหลือจาก Thijs Alkemade (@xnyhps) จาก Computest
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
HomeKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tian Zhang
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
mDNSResponder
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
โปรไฟล์
เราขอขอบคุณสำหรับความช่วยเหลือจาก Erik Johnson จาก Vernon Hills High School, James Seeley (@Code4iOS) จาก Shriver Job Corps
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019 อัพเดทรายการเมื่อวันที่ 4 เมษายน 2020
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก MinJeong Kim จาก Information Security Lab, Chungnam National University, JaeCheol Ryou จาก Information Security Lab, Chungnam National University ในเกาหลีใต้, cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019