Tietoja watchOS 11.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 11.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
watchOS 11.5
Julkaistu 12.5.2025
AppleJPEG
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.
CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Core Bluetooth
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)
CoreAudio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen mediatiedoston äänisisällön striimauksen käsittely saattoi johtaa koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan 18.4.1-versiota edeltävissä iOS-versioissa.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-31200: Apple ja Google Threat Analysis Group
CoreAudio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.
CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-31226: Saagar Jha
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: etähyökkääjä saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-24224: Tony Iskow (@Tybbow)
Kohta lisätty 29.7.2025
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-31219: Michael DePlante (@izobashi) ja Lucas Leong (@_wmliang_) (Trend Micro Zero Day Initiative)
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2025-31241: Christian Kohlschütter
libexpat
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: useita libexpat-ongelmia, mukaan lukien apin odottamaton sulkeutuminen tai mielivaltaisen koodin suorittaminen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-8176
mDNSResponder
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Security
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-31221: Dave G.
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tyyppisekaannusongelma saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla liukulukujen käsittelyä.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
WebKit Bugzilla: 289653
CVE-2025-31238: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) ja nimetön tutkija
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang ja Jikai Ren
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
WebKit Bugzilla: 290834
CVE-2025-31206: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied (Lynck GmbH)
Kiitokset
AirDrop
Haluamme kiittää avusta Dalibor Milanovicia.
Kernel
Haluamme kiittää avusta nimetöntä tutkijaa.
MobileGestalt
Haluamme kiittää avusta nimimerkkiä iisBuri.
NetworkExtension
Haluamme kiittää avusta Andrei-Alexandru Bleorțua.
Shortcuts
Haluamme kiittää avusta Candace Jenseniä (Kandji), Chi Yuan Changia (ZUSO ART), taikosoupia ja Egor Filatovia (Positive Technologies).
WebKit
Haluamme kiittää avusta Mike Doughertya ja Daniel Whiteä (Google Chrome) sekä nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.