เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 10.1
เปิดตัวเมื่อวันที่ 25 ตุลาคม 2023
Core Recents
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการล้างการบันทึก
CVE-2023-42823
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Find My
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-40413: Adam M.
Find My
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2023-42834: Csaba Fitzl (@theevilbit) จาก Offensive Security
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Game Center
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-42848: JZ
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Kernel
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สั่งให้โค้ดทำงานในระดับเคอร์เนลได้แล้ว อาจสามารถหลบเลี่ยงกลไกป้องกันปัญหาช่องโหว่หน่วยความจำเคอร์เนลได้ด้วย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42849: Linus Henze จาก Pinauten GmbH (pinauten.de)
libxpc
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในการรูท
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยปรับปรุงการจัดการ symlinks
CVE-2023-42942: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Mail Drafts
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ซ่อนอีเมลของฉันอาจถูกปิดใช้งานโดยไม่คาดคิด
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2023-42846: Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co
Sandbox
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Share Sheet
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science ประเทศโรมาเนีย
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Siri
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Siri
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42946
เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
Weather
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-41254: Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) จาก Cross Republic
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) และ Vitor Pedreira (@0xvhp_) จาก Agile Information Security
อัปเดตรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024
คำขอบคุณพิเศษ
VoiceOver
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม