เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 9

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 9

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 9

เปิดตัวเมื่อวันที่ 12 กันยายน 2022

Accelerate Framework

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-42795: ryuzaki

AppleAVD

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-32907: Natalie Silvanovich จาก Google Project Zero, Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-32854: Holger Fuhrmannek จาก Deutsche Telekom Security

Exchange

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับข้อมูลประจำตัวในเมลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) จาก Check Point Research

อัปเดตรายการเมื่อวันที่ 8 มิถุนายน 2023

GPU Drivers

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32903: นักวิจัยนิรนาม

ImageIO

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-1622

Image Processing

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอป Sandbox อาจสามารถระบุได้ว่าแอปใดกำลังใช้กล้องอยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจํากัดเพิ่มเติมเกี่ยวกับความสามารถในการสังเกตสถานะแอป

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32864: Linus Henze จาก Pinauten GmbH (pinauten.de)

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32866: Linus Henze จาก Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig จาก Kunlun Lab

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32914: Zweig จาก Kunlun Lab

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-32894: นักวิจัยที่ไม่เปิดเผยชื่อ

Maps

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2022-32883: Ron Masas จาก breakpointhq.com

MediaLibrary

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-32908: นักวิจัยนิรนาม

Notifications

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถเข้าถึงรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32879: Ubeydullah Sümer

Sandbox

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2022-32881: Csaba Fitzl (@theevilbit) จาก Offensive Security

Siri

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถใช้ Siri เพื่อขอข้อมูลประวัติการโทรได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32870: Andrew Goldberg จาก The McCombs School of Business, The University of Texas ที่ Austin (linkedin.com/in/andrew-goldberg-/)

SQLite

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-36690

Watch app

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถอ่านหมายเลขระบุตัวเครื่องที่ค้างอยู่ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2022-32835: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)

Weather

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32875: นักวิจัยนิรนาม

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) ที่ Theori ซึ่งร่วมงานกับ Trend Micro Zero Day Initiative

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การเข้าเว็บไซต์ที่มีเนื้อหาประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 นักวิจัยนิรนาม

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 243557
CVE-2022-32893: นักวิจัยที่ไม่เปิดเผยชื่อ

Wi-Fi

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-46709: Wang Yu จาก Cyberserval

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

Wi-Fi

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-32925: Wang Yu จาก Cyberserval

คำขอบคุณพิเศษ

AppleCredentialManager

เราขอขอบคุณสำหรับความช่วยเหลือจาก @jonathandata1

FaceTime

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Mail

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Scott Hatfield จาก Sub-Zero Group

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

Sandbox

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

UIKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Aleczander Ewing

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

WebRTC

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

 

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: