เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 6.1.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 6.1.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 6.1.1
CallKit
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: สายที่โทรด้วย Siri อาจเริ่มโทรโดยใช้แผนบริการเซลลูลาร์ที่ไม่ถูกต้องเมื่ออุปกรณ์มีแผนที่กำลังเปิดใช้งานอยู่สองแผน
คำอธิบาย: มีปัญหา API ในการจัดการกับสายโทรออกที่เริ่มโทรด้วย Siri ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8856: Fabrice TERRANCLE จาก TERRANCLE SARL
CFNetwork
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS สำหรับโดเมนระดับบนสุดเฉพาะที่มีจำนวนจำกัดซึ่งก่อนหน้านี้ไม่อยู่ในรายการโหลดล่วงหน้า HSTS ได้
คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม
CVE-2019-8834: Rob Sayre (@sayrer)
CFNetwork Proxies
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8848: Zhuo Liang จาก Qihoo 360 Vulcan Team
FaceTime
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลวิดีโอที่ประสงค์ร้ายผ่าน FaceTime อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8830: natashenka จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง
CVE-2019-8833: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8828: Cim Stordal จาก Cognite
CVE-2019-8838: Dr Silvio Cesare จาก InfoSect
libexpat
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท Expat ให้เป็นเวอร์ชั่น 2.2.8
CVE-2019-15903: Joonun Jang
libpcap
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: มีปัญหาหลายประการใน libpcap
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น libpcap เวอร์ชั่น 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
ความปลอดภัย
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8832: Insu Yun จาก SSLab ที่ Georgia Tech
WebKit
มีให้สำหรับ: Apple Watch Series 1 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8844: William Bowling (@wcbowling)
คำขอบคุณพิเศษ
บัญชี
เราขอขอบคุณสำหรับความช่วยเหลือจาก Allison Husain จาก UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling จาก Loughborough University
Core Data
เราขอขอบคุณสำหรับความช่วยเหลือจาก natashenka จาก Google Project Zero
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม