เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 9.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 9.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 9.1

เปิดตัวเมื่อวันที่ 24 ตุลาคม 2022

AppleMobileFileIntegrity

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก

CVE-2022-42825: Mickey Jin (@patch1t)

Apple Neural Engine

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32932: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Audio

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์เสียงที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-42798: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

AVEVideoEncoder

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2022-32940: ABC Research s.r.o.

CFNetwork

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการ WKWebView ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-42813: Jonathan Zhang จาก Open Computing Facility (ocf.berkeley.edu)

GPU Drivers

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออาจใช้โค้ดที่มีสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-46712: Tommy Muir (@Muirey03)

เพิ่มรายการเมื่อวันที่ 6 มิถุนายน 2023

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32924: Ian Beer จาก Google Project Zero

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิดการใช้โค้ดที่มีสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-42808: Zweig จาก Kunlun Lab

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32944: Tim Michaud (@TimGMichaud) จาก Moveworks.ai

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2022-42803: Xinru Chi จาก Pangu Lab, John Aakerblom (@jaakerblom)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2022-32926: Tim Michaud (@TimGMichaud) จาก Moveworks.ai

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Kernel

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-42801: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Safari

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหล

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42817: Mir Masood Ali นักศึกษาปริญญาเอกจาก University of Illinois ที่ Chicago; Binoy Chitale นักศึกษาระดับ MS จาก Stony Brook University; Mohammad Ghasemisharif นักศึกษาดุษฎีบัณฑิตจาก University of Illinois ที่ Chicago; Chris Kanich รองศาสตราจารย์จาก University of Illinois ที่ Chicago

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Sandbox

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2022-42811: Justin Bui (@slyd0g) จาก Snowflake

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) จาก SSD Labs

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi จาก Microsoft Browser Vulnerability Research, Ryan Shin จาก IAAI SecLab ที่ Korea University, Dohyun Lee (@l33d0hyun) จาก DNSLab ที่ Korea University

WebKit

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยสถานะภายในของแแอป

คำอธิบาย: ปัญหาความถูกต้องใน JIT ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) จาก KAIST Hacking Lab

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

zlib

มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า

ผลกระทบ: ผู้ใช้อาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

คำขอบคุณพิเศษ

iCloud

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Michaud (@TimGMichaud) จาก Moveworks.ai

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Peter Nguyen จาก STAR Labs, Tim Michaud (@TimGMichaud) จาก Moveworks.ai, Tommy Muir (@Muirey03)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Maddie Stone จาก Google Project Zero, Narendra Bhati (@imnarendrabhati) จาก Suma Soft Pvt. Ltd. นักวิจัยนิรนาม

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: