Over de beveiligingsinhoud van watchOS 11.3

In dit document wordt de beveiligingsinhoud van watchOS 11.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 11.3

CoreAudio

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24123: Desmond in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 17.2.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2025-24085

CoreMedia Playback

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) en Lee Dong Ha (Who4mI)

Display

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2025-24111: Wang Yu van Cyberserval

ImageIO

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24107: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-55549: Ivan Fratric van Google Project Zero

CVE-2025-24855: Ivan Fratric van Google Project Zero

PackageKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-24149: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24189: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24158: Q1IQ (@q1iqF) van NUS CuriOSity en P1umer (@p1umer) van Imperial Global Singapore.

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-24162: linjy van HKUS3Lab en chluo van WHUSecLab

Aanvullende erkenning

Audio

Met dank aan Google Threat Analysis Group voor de hulp.

CoreAudio

Met dank aan Google Threat Analysis Group voor de hulp.

iCloud

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, George Kovaios en Srijan Poudel voor de hulp.

Passwords

Met dank aan Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co voor de hulp.

Static Linker

Met dank aan Holger Fuhrmannek voor de hulp.