เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 9.5
เปิดตัวเมื่อวันที่ 18 พฤษภาคม 2023
Accessibility
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถทำให้อีเมลของบัญชีผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-34352: Sergii Kryvoblotskyi จาก MacPaw Inc.
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Apple Neural Engine
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Core Location
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-32399: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
CoreServices
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-28191: Mickey Jin (@patch1t)
Face Gallery
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่อง Apple Watch ที่ล็อคอยู่อาจสามารถดูรูปภาพหรือรายชื่อของผู้ใช้ผ่านคุณสมบัติการช่วยการเข้าถึงได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2023-32417: Zitong Wu (吴梓桐) จาก Zhuhai No.1 High School (珠海市第一中学)
GeoServices
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-32392: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32372: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-32384: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOSurfaceAccelerator
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32354: Linus Henze จาก Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32420: ทีม CertiK SkyFall และ Linus Henze จาก Pinauten GmbH (pinauten.de)
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-27930: 08Tc3wBB จาก Jamf
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32398: Adam Doupé จาก ASU SEFCOM
Kernel
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
LaunchServices
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32352: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)
MallocStackLogging
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Metal
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลโมเดล 3D อาจทำให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32403: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
NSURLSession
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจแยกตัวออกจาก Sandbox ได้
คําอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงโปรโตคอลการจัดการไฟล์
CVE-2023-32437: Thijs Alkemade (@) จาก Computest Sector 7
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Photos
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32390: Julian Szulc
Sandbox
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถคงสิทธิ์การเข้าถึงไฟล์การกำหนดค่าระบบไว้ได้ แม้ว่าจะเพิกถอนการอนุญาตแล้วก็ตาม
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa จาก FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) และ Csaba Fitzl (@theevilbit) จาก Offensive Security
Share Sheet
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2023-32432: Kirin (@Pwnrin)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Shortcuts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32391: Wenchao Li และ Xiaolong Bai จาก Alibaba Group
Shortcuts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com) และนักวิจัยนิรนาม
Siri
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: บุคคลที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์อาจสามารถดูข้อมูลรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32394: Khiem Tran
SQLite
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดการบันทึก SQLite เพิ่มเติม
CVE-2023-32422: Gergely Kalman (@gergely_kalman) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
StorageKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การตั้งค่าไฟร์วอลล์ของแอปอาจไม่มีผลหลักจากออกจากแอปการตั้งค่า
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-28202: Satish Panduranga และนักวิจัยนิรนาม
Telephony
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32412: Ivan Fratric จาก Google Project Zero
TV App
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-32408: Adam M.
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 255075
CVE-2023-32402: นักวิจัยนิรนาม
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถแยกตัวออกจาก Sandbox ของคอนเทนต์เว็บได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne จาก Google's Threat Analysis Group และ Donncha Ó Cearbhaill จาก Security Lab ของ Amnesty International
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 254930
CVE-2023-28204: นักวิจัยนิรนาม
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 254840
CVE-2023-32373: นักวิจัยนิรนาม
Wi-Fi
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.
คำขอบคุณพิเศษ
Accounts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Sergii Kryvoblotskyi จาก MacPaw Inc.
CloudKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Iconic
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero
Reminders
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Toms
Share Sheet
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)
Wallet
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)