Informace o bezpečnostním obsahu watchOS 11.5
Tento dokument popisuje bezpečnostní obsah watchOS 11,5.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 11.5
Vydáno 12. května 2025
AppleJPEG
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém byl vyřešen vylepšením sanitizace vstupů.
CVE-2025-31251: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
Core Bluetooth
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2025-31212: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)
CoreAudio
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může vést ke spuštění kódu. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS vydané před verzí iOS 18.4.1.
Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2025-31200: Apple a Google Threat Analysis Group
CoreAudio
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-31208: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
CoreGraphics
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k odhalení uživatelských informací.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2025-31209: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
CoreMedia
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2025-31239: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
CoreMedia
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém byl vyřešen vylepšením sanitizace vstupů.
CVE-2025-31233: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2025-31226: Saagar Jha
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24224: Tony Iskow (@Tybbow)
Záznam přidán 29. července 2025
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z Trend Micro Zero Day Initiative
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém s dvojitým uvolněním paměti byl vyřešen vylepšením správy paměti.
CVE-2025-31241: Christian Kohlschütter
libexpat
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Několik problémů v libexpat, včetně nečekaného ukončení aplikace nebo spuštění libovolného kódu
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2024-8176
mDNSResponder
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Problém se správností byl vyřešen vylepšením kontrol.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Security
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.
Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.
CVE-2025-31221: Dave G.
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Problém se záměnou typů může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování čísel s plovoucí desetinnou čárkou.
WebKit Bugzilla: 286694
CVE-2025-24213: tým Google V8 Security Team
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) a anonymní výzkumník
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang(@eternalsakura13)
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang a Jikai Ren
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 290834
CVE-2025-31206: anonymní výzkumník
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Škodlivý web může získat data napříč původy.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric z týmu Google Project Zero
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied ze společnosti Lynck GmbH
Další poděkování
AirDrop
Poděkování za pomoc zaslouží Dalibor Milanovic.
Kernel
Poděkování za pomoc zaslouží anonymní výzkumník.
MobileGestalt
Poděkování za pomoc zaslouží iisBuri.
NetworkExtension
Poděkování za pomoc zaslouží Andrei-Alexandru Bleorțu.
Shortcuts
Poděkování za pomoc zaslouží Candace Jensen z týmu Kandji, Chi Yuan Chang ve společnosti ZUSO ART a taikosoup, Egor Filatov (Positive Technologies).
WebKit
Poděkování za pomoc zaslouží Mike Dougherty a Daniel White z týmu Google Chrome a anonymní výzkumník.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.