Om sikkerhetsinnholdet i watchOS 11.5

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

watchOS 11.5

AppleJPEG

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31251: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Core Bluetooth

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31212: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

CoreAudio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan føre til kjøring av kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 18.4.1.

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret grensekontroll.

CVE-2025-31200: Apple og Google Threat Analysis Group

CoreAudio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-31209: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31239: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31233: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En ekstern angriper kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31219: Michael DePlante (@izobashi) og Lucas Leong (@_wmliang_) fra Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Flere problemer i libexpat, inkludert uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-8176

mDNSResponder

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Security

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2025-31221: Dave G.

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skriveforvirringsproblem kunne føre til et ødelagt minne

Beskrivelse: Dette problemet ble løst gjennom forbedret håndtering av flyt.

CVE-2025-24213: Google V8 Security Team

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CVE-2025-31238: wac i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24223: rheza (@ginggilBesel) og en anonym forsker

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31215: Jiming Wang og Jikai Ren

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-31206: en anonym forsker

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31205: Ivan Fratric fra Google Project Zero

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2025-31257: Juergen Schmied fra Lynck GmbH

Ytterligere anerkjennelser

AirDrop

Vi vil gjerne takke Dalibor Milanovic for hjelpen.

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.

MobileGestalt

Vi vil gjerne takke iisBuri for hjelpen.

NetworkExtension

Vi vil gjerne takke Andrei-Alexandru Bleorțu for hjelpen.

Shortcuts

Vi vil gjerne takke Candace Jensen fra Kandji, Chi Yuan Chang fra ZUSO ART og taikosoup og Egor Filatov (Positive Technologies) for hjelpen.

WebKit

Vi vil gjerne takke Mike Dougherty og Daniel White fra Google Chrome og en anonym forsker for hjelpen.