watchOS 11.6のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年7月29日リリース
対象:Apple Watch Series 6以降
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43186:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:Apple Watch Series 6以降
影響:特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。
説明:入力検証を強化し、サービス運用妨害の脆弱性に対処しました。
CVE-2025-43223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたオーディオファイルを処理すると、メモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43277:GoogleのThreat Analysis Group
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43210:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2025-43230:ZUSO ARTおよびtaikosoupのChi Yuan Chang氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43209:Trend Micro Zero Day Initiativeに協力するGary Kwong氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-43226
対象:Apple Watch Series 6以降
影響:ファイルを処理すると、メモリが破損する可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7425:Google Project ZeroのSergei Glazunov氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7424:Google Project ZeroのIvan Fratric氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-2025-43234:GoogleのThreat Analysis GroupのVlad Stolyarov氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:292888
CVE-2025-43227:Gilad Moav氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:291742
CVE-2025-31278:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:291745
CVE-2025-31277:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:293579
CVE-2025-31273:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:292599
CVE-2025-43214:Trend Micro Zero Day Initiativeに協力するshandikri氏、Google V8 Security Team
WebKit Bugzilla:292621
CVE-2025-43213:Google V8 Security Team
WebKit Bugzilla:293197
CVE-2025-43212:Nan Wang氏(@eternalsakura13)およびZiling Chen氏
対象:Apple Watch Series 6以降
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:293730
CVE-2025-43211:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、アプリの内部の状態情報が漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
WebKit Bugzilla:294182
CVE-2025-43265:DEVCORE Research TeamのHexRabbit氏(@h3xr4bb1t)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:295382
CVE-2025-43216:Ignacio Sanmillan氏(@ulexec)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
WebKit Bugzilla:296459
CVE-2025-6558:GoogleのThreat Analysis GroupのClément Lecigne氏およびVlad Stolyarov氏
Source GuardのLIdong LI氏、Xiao Wang氏、Shao Dong Chen氏、およびChao Tan氏のご協力に感謝いたします。
Noah Weinberg氏のご協力に感謝いたします。
Google Project ZeroのSergei Glazunov氏のご協力に感謝いたします。
Google Project ZeroのIvan Fratric氏のご協力に感謝いたします。
Dennis Kniep氏のご協力に感謝いたします。
Google V8 Security Team、Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏、rheza氏(@ginggilBesel)のご協力に感謝いたします。