เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.1

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 11.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.1

Accessibility

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ที่ล็อคอาจสามารถดูข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถเรียกใช้คำสั่งลัดโดยพลการโดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2024-44255: นักวิจัยนิรนาม

AppleAVD

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-44232: Ivan Fratric จาก Google Project Zero

CVE-2024-44233: Ivan Fratric จากGoogle Project Zero

CVE-2024-44234: Ivan Fratric จาก Google Project Zero

CoreMedia Playback

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44240: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Foundation

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44282: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44215: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-44297: Jex Amro

IOSurface

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้ข้อมูลหน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44285: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจใช้คำสั่งลัดเพื่อเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44269: นักวิจัยนิรนาม

Siri

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ในบันทึกระบบได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44296: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44244: นักวิจัยนิรนาม, Q1IQ (@q1iqF) และ P1umer (@p1umer)

คำขอบคุณพิเศษ

Calculator

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kenneth Chew

Calendar

เราขอขอบคุณสำหรับความช่วยเหลือจาก K宝(@Pwnrin)

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Amir Bazine และ Karsten König นักวิจัยนิรนามจาก CrowdStrike Counter Adversary Operations

Messages

เราขอขอบคุณสำหรับความช่วยเหลือจาก Collin Potter นักวิจัยนิรนาม

NetworkExtension

เราขอขอบคุณสำหรับความช่วยเหลือจาก Patrick Wardle จาก DoubleYou และ Objective-See Foundation

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Robertson

Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bing Shi, Wenchao Li และ Xiaolong Bai จาก Alibaba Group

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bistrit Dahal