Informace o bezpečnostním obsahu watchOS 11.3

Tento dokument popisuje bezpečnostní obsah watchOS 11.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

watchOS 11,3

CoreAudio

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-24123: Desmond ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) ve spolupráci se Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Škodlivé aplikaci se může podařit navýšit si oprávnění. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 17.2.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-24085

CoreMedia Playback

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

Informace o bezpečnostním obsahu watchOS 11.3

Display

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2025-24111: Wang Yu z Cyberservalu

ImageIO

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-24086: DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) v Enki WhiteHat, D4m0n

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-24107: anonymní výzkumník

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.

Popis: Problém byl vyřešen vylepšením redigování citlivých údajů.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-55549: Ivan Fratric z týmu Google Project Zero

CVE-2025-24855: Ivan Fratric z týmu Google Project Zero

PackageKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Parsování souboru může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-24149: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-24189: anonymní výzkumník

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování webového obsahu může vést k odepření služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-24158: Q1IQ (@q1iqF) z NUS CuriOSity a P1umer (@p1umer) ze společnosti Imperial Global Singapore.

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2025-24162: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab

Další poděkování

Audio

Poděkování za pomoc zaslouží Google Threat Analysis Group.

CoreAudio

Poděkování za pomoc zaslouží Google Threat Analysis Group.

iCloud

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, George Kovaios, Srijan Poudel.

Passwords

Poděkování za pomoc zaslouží Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. @mysk_co.

Static Linker

Poděkování za pomoc zaslouží Holger Fuhrmannek.