เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.3
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.3
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 11.3
เผยแพร่เมื่อวันที่ 27 มกราคม 2025
AirPlay
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีบนเครือข่ายในพื้นที่อาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือหน่วยความจำการประมวลผลเสียหายได้
คำอธิบาย: ปัญหาเกี่ยวกับการตรวจสอบอินพุตได้รับการแก้ไขแล้ว
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการปฏิเสธบริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-24137: Uri Katz (Oligo Security)
CoreAudio
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-24123: Desmond ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car และ Rotiple (HyeongSeok Jang) ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreMedia
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถยกระดับสิทธิ์ได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 17.2
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-24085
ImageIO
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-24086: DongJun Kim (@smlijun) และ JongSeong Kim (@nevul37) ใน Enki WhiteHat, D4m0n
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ระดับรูท
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-24107: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
SceneKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-24149: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) จาก NUS CuriOSity และ P1umer (@p1umer) จาก Imperial Global Singapore
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 284159
CVE-2025-24162: linjy จาก HKUS3Lab และ chluo จาก WHUSecLab
คำขอบคุณพิเศษ
เสียง
เราขอขอบคุณสำหรับความช่วยเหลือจาก Google Threat Analysis Group
CoreAudio
เราขอขอบคุณสำหรับความช่วยเหลือจาก Google Threat Analysis Group
CoreMedia Playback
เราขอขอบคุณสำหรับความช่วยเหลือจาก Song Hyun Bae (@bshyuunn) และ Lee Dong Ha (Who4mI)
Passwords
เราขอขอบคุณสำหรับความช่วยเหลือจาก Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co
Static Linker
เราขอขอบคุณสำหรับความช่วยเหลือจาก Holger Fuhrmannek
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม