A watchOS 11.3 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 11.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 11.3
Kiadási dátum: 2025. január 27.
CoreAudio
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként
CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként
CoreMedia
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2025-24085
CoreMedia Playback
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI)
Bejegyzés hozzáadva: 2025. május 16.
Display
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2025-24111: Wang Yu (Cyberserval)
Bejegyzés hozzáadva: 2025. május 12.
ImageIO
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n
Kernel
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Bejegyzés hozzáadva: 2025. május 12.
Kernel
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-24107: anonim kutató
Kernel
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-55549: Ivan Fratric (Google Project Zero)
CVE-2025-24855: Ivan Fratric (Google Project Zero)
Bejegyzés hozzáadva: 2025. május 16.
PackageKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2025-31262: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2025. május 16.
SceneKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 284332
CVE-2025-24189: egy anonim kutató
Bejegyzés hozzáadva: 2025. május 16.
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF), NUS CuriOSity és P1umer (@p1umer), Imperial Global Singapore.
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab
További köszönetnyilvánítás
Audio
Köszönjük a Google Threat Analysis Group segítségét.
CoreAudio
Köszönjük a Google Threat Analysis Group segítségét.
iCloud
Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), George Kovaios, Srijan Poudel segítségét.
Bejegyzés hozzáadva: 2025. május 16.
Passwords
Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.
Static Linker
Köszönjük Holger Fuhrmannek segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.