เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 10.2
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 10.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 10.2
วันที่เผยแพร่ 11 ธันวาคม 2023
Accessibility
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-42937: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024
Accounts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-42919: Kirin (@Pwnrin)
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42898: Zhenjiang Zhao จาก Pangu Team, Qianxin และ Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM และ Junsung Lee
อัปเดตรายการเมื่อวันที่ 22 มีนาคม 2024
ImageIO
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-42888: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024
Kernel
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจแยกตัวออกจาก Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv)
Libsystem
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยงและการเพิ่มการตรวจสอบเพิ่มเติม
CVE-2023-42893
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Sandbox
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42936: Csaba Fitzl (@theevilbit) จาก OffSec
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024, อัปเดตเมื่อวันที่ 16 กรกฎาคม 2024
TCC
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42947: Zhongquan Li (@Guluisacat) จาก Dawn Security Lab of JingDong
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Transparency
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการเข้าถึงคอนเทนเนอร์ของข้อมูลให้ดียิ่งขึ้น
CVE-2023-40389: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Joshua Jewett (@JoshJewett33)
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7.1
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne จาก Threat Analysis Group
WebKit
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจทำให้มีการใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7.1
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne จาก Threat Analysis Group ของ Google
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) จาก 360 Vulnerability Research Institute และ rushikesh nandedka
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
คำขอบคุณพิเศษ
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม