เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 10.3
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 10.3
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 10.3
เผยแพร่เมื่อวันที่ 22 มกราคม 2024
Apple Neural Engine
ใช้ได้กับอุปกรณ์ที่มี Apple Neural Engine: Apple Watch Series 9 เและ Apple Watch Ultra 2
ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-23212: Ye Zhang จาก Baidu Security
CoreCrypto
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัส Ciphertext RSA PKCS#1 v1.5 รุ่นเก่าได้โดยไม่ต้องมีกุญแจส่วนตัว
คําอธิบาย: ปัญหาการโจมตีช่องทางด้านข้างแบบกำหนดเวลาได้รับการแก้ไขแล้วด้วยการปรับปรุงการประมวลผลแบบเวลาคงที่ในฟังก์ชันการเข้ารหัส
CVE-2024-23218: Clemens Lang
Kernel
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-23208: fmyy(@binary_fmyy) และ lime จากทีม TIANGONG ของ Legendsec ที่ QI-ANXIN Group
libxpc
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2024-23201: Koh M. Nakagawa จาก FFRI Security, Inc. และนักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 7 มีนาคม 2024
Mail Search
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2024-23207: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab) และ Ian de Marcellus
NSSpellChecker
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2024-23223: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
Safari
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: กิจกรรมการท่องเว็บส่วนตัวของผู้ใช้อาจปรากฏให้เห็นในการตั้งค่า
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการตั้งค่าผู้ใช้
CVE-2024-23211: Mark Bowers
Shortcuts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
มีให้บริการสำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2024-23217: Kirin (@Pwnrin)
TCC
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ในบันทึกระบบได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2024-23210: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
WebKit Bugzilla: 262699
CVE-2024-23206: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu จาก Zhongfu info
WebKit
มีให้สำหรับ: Apple Watch Series 4 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024
คำขอบคุณพิเศษ
NetworkExtension
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nils Rollshausen
เพิ่มรายการเมื่อวันที่ 24 เมษายน 2024
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม