เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 9
เปิดตัวเมื่อวันที่ 12 กันยายน 2022
Accelerate Framework
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-42795: ryuzaki
AppleAVD
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32907: Natalie Silvanovich จาก Google Project Zero, Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32854: Holger Fuhrmannek จาก Deutsche Telekom Security
Exchange
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับข้อมูลประจำตัวในเมลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) จาก Check Point Research
อัปเดตรายการเมื่อวันที่ 8 มิถุนายน 2023
GPU Drivers
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32903: นักวิจัยนิรนาม
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-1622
Image Processing
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอป Sandbox อาจสามารถระบุได้ว่าแอปใดกำลังใช้กล้องอยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจํากัดเพิ่มเติมเกี่ยวกับความสามารถในการสังเกตสถานะแอป
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32864: Linus Henze จาก Pinauten GmbH (pinauten.de)
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32866: Linus Henze จาก Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig จาก Kunlun Lab
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32914: Zweig จาก Kunlun Lab
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32894: นักวิจัยที่ไม่เปิดเผยชื่อ
Maps
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2022-32883: Ron Masas จาก breakpointhq.com
MediaLibrary
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32908: นักวิจัยนิรนาม
Notifications
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถเข้าถึงรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32879: Ubeydullah Sümer
Sandbox
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2022-32881: Csaba Fitzl (@theevilbit) จาก Offensive Security
Siri
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถใช้ Siri เพื่อขอข้อมูลประวัติการโทรได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32870: Andrew Goldberg จาก The McCombs School of Business, The University of Texas ที่ Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2021-36690
Watch app
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถอ่านหมายเลขระบุตัวเครื่องที่ค้างอยู่ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2022-32835: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)
Weather
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32875: นักวิจัยนิรนาม
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) ที่ Theori ซึ่งร่วมงานกับ Trend Micro Zero Day Initiative
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การเข้าเว็บไซต์ที่มีเนื้อหาประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 นักวิจัยนิรนาม
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
WebKit Bugzilla: 243557
CVE-2022-32893: นักวิจัยที่ไม่เปิดเผยชื่อ
Wi-Fi
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-46709: Wang Yu จาก Cyberserval
เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023
Wi-Fi
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32925: Wang Yu จาก Cyberserval
คำขอบคุณพิเศษ
AppleCredentialManager
เราขอขอบคุณสำหรับความช่วยเหลือจาก @jonathandata1
FaceTime
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Scott Hatfield จาก Sub-Zero Group
เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023
Sandbox
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
UIKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Aleczander Ewing
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
WebRTC
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม