เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 11
เผยแพร่เมื่อวันที่ 16 กันยายน 2024
Accessibility
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องปกรณ์ที่ถูกล็อคได้ อาจสามารถควบคุมอุปกรณ์ใกล้เคียงได้โดยใช้คุณสมบัติการเข้าถึง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-44171: Jake Derouin
Game Center
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการเข้าถึงไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-27880: Junsung Lee
ImageIO
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2024-44176: dw0r จาก ZeroPointer Lab ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative นักวิจัยนิรนาม
IOSurfaceAccelerator
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-44169: Antonio Zekić
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงบลูทูธได้โดยไม่ได้รับอนุญาต
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) และ Mathy Vanhoef
libxml2
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-44198: OSS-Fuzz, Ned Williamson จาก Google Project Zero
mDNSResponder
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ข้อผิดพลาดตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น
CVE-2024-44183: Olivier Levon
Safari
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: คอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe
คำอธิบาย: ปัญหาการจัดการแบบแผน URL ที่กำหนดเองได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-44155: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024
SceneKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น
CVE-2024-44144: 냥냥
เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024
Siri
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่ปลอดภัยยิ่งขึ้น
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
คำขอบคุณพิเศษ
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) จาก PixiePoint Security
Maps
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)
Shortcuts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School จาก Computer Science, Romania, Jacob Braun นักวิจัยนิรนาม
Siri
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India และนักวิจัยนิรนาม Rohan Paudel
อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024
Voice Memos
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lisa B
WebKit
เราขอขอบคุณสําหรับความช่วยเหลือจาก Avi Lumelsky จาก Oligo Security, Uri Katz จาก Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar)
อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม