เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.2

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 11.2

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 11.2

APFS

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-54541: Arsenii Kostromin (0x3c3e) และนักวิจัยนิรนาม

AppleMobileFileIntegrity

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54526: Mickey Jin (@patch1t) Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-54513: นักวิจัยนิรนาม

Face Gallery

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: อาจมีการใช้ไบนารีของระบบเพื่อลงลายนิ้วมือบัญชี Apple ของผู้ใช้

คําอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบธงที่เกี่ยวข้อง

CVE-2024-54512: Bistrit Dahal

FontParser

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54486: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

ICU

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-54478: Gary Kwong

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-54499: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54500: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOMobileFrameBuffer

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถสร้างความเสียหายให้กับหน่วยความจำโปรเซสเซอร์ร่วมได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-54517: Ye Zhang (@VAR10CK) จาก Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) จาก Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) จาก Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) จาก Baidu Security

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54468: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจสร้างการแมปหน่วยความจำแบบอ่านอย่างเดียวที่สามารถเขียนได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-54494: sohybbyk

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-54510: Joseph Ravichandran (@0xjprx) จาก MIT CSAIL

libexpat

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-45490

libxpc

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54514: นักวิจัยนิรนาม

libxpc

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การป้อนรหัสผ่านอัตโนมัติอาจกรอกรหัสผ่านหลังจากการรับรองความถูกต้องล้มเหลว

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) จาก C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

QuartzCore

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54497: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Safari Private Browsing

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: อาจมีการเข้าถึงแถบ ท่องเว็บแบบส่วนตัว โดยไม่มีการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54501: Michael DePlante (@izobashi) จาก Trend Micro's Zero Day Initiative

Vim

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-45306

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-54508: linjy จาก HKUS3Lab และ chluo จาก WHUSecLab และ Xiangwei Zhang จาก Tencent Security YUNDING LAB

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดหน่วยความจำเสียหายได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-54505: Gary Kwong

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดหน่วยความจำเสียหายได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong และนักวิจัยนิรนาม

คำขอบคุณพิเศษ

FaceTime

เราขอขอบคุณความช่วยเหลือจาก 椰椰

Proximity

เราขอขอบคุณความช่วยเหลือจาก Junming C. (@Chapoly1305) และ Prof. Qiang Zeng จาก George Mason University

Swift

เราขอขอบคุณ Dr. rer. Marc Schoenefeld nat. จาก Digital Security

WebKit

เราขอขอบคุณความช่วยเหลือจาก Hafiizh