Despre conținutul de securitate din watchOS 11.3
Acest document descrie conținutul de securitate din watchOS 11.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
watchOS 11.3
Lansare: 27 ianuarie 2025
CoreAudio
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24123: Desmond în colaborare cu Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) în colaborare cu Trend Micro Zero Day Initiative
CoreMedia
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație rău intenționată poate să acorde privilegii superioare. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 17.2.
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2025-24085
CoreMedia Playback
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) și Lee Dong Ha (Who4mI)
Intrare adăugată pe 16 mai 2025
Display
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2025-24111: Wang Yu de la Cyberserval
Intrare adăugată pe 12 mai 2025
ImageIO
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24086: DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) din cadrul Enki WhiteHat, D4m0n
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Intrare adăugată pe 12 mai 2025
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2025-24107: un cercetător anonim
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.
CVE-2024-55549: Ivan Fratric de la Google Project Zero
CVE-2025-24855: Ivan Fratric de la Google Project Zero
Intrare adăugată pe 16 mai 2025
PackageKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2025-31262: Mickey Jin (@patch1t)
Intrare adăugată pe 16 mai 2025
SceneKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2025-24149: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 284332
CVE-2025-24189: un cercetător anonim
Intrare adăugată pe 16 mai 2025
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) și P1umer (@p1umer) (Imperial Global Singapore).
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy (HKUS3Lab) și chluo (WHUSecLab)
Alte mențiuni
Audio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
CoreAudio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
iCloud
Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, George Kovaios și Srijan Poudel pentru asistența acordată.
Intrare adăugată pe 16 mai 2025
Passwords
Dorim să-i mulțumim lui Talal Haj Bakry și lui Tommy Mysk (Mysk Inc. @mysk_co) pentru asistență.
Static Linker
Dorim să îi mulțumim lui Holger Fuhrmannek pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.