Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.3
В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 11.3.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
watchOS 11.3
Дата выпуска: 27 января 2025 г.
CoreAudio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24160: подразделение Threat Analysis Group компании Google
CVE-2025-24161: подразделение Threat Analysis Group компании Google
CVE-2025-24163: подразделение Threat Analysis Group компании Google
CoreMedia
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CoreMedia
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может повысить уровень привилегий. Apple известно о том, что эта проблема могла активно использоваться в версиях iOS, выпущенных до iOS 17.2.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2025-24085
CoreMedia Playback
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI)
Запись добавлена 16 мая 2025 г.
Display
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2025-24111: Wang Yu из CyberServal
Запись добавлена 12 мая 2025 г.
ImageIO
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Kernel
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема утечки информации решена посредством удаления уязвимого кода.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Запись добавлена 12 мая 2025 г.
Kernel
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может получать привилегии пользователя root.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2025-24107: анонимный исследователь
Kernel
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-55549: Ivan Fratric из Google Project Zero
CVE-2025-24855: Ivan Fratric из Google Project Zero
Запись добавлена 16 мая 2025 г.
PackageKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2025-31262: Mickey Jin (@patch1t)
Запись добавлена 16 мая 2025 г.
SceneKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ файла может приводить к раскрытию данных пользователя.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 284332
CVE-2025-24189: анонимный исследователь
Запись добавлена 16 мая 2025 г.
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global (Сингапур)
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy из HKUS3Lab и chluo of WHUSecLab
Дополнительные благодарности
Audio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
CoreAudio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
iCloud
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина (Бхопал, Индия), George Kovaios и Srijan Poudel.
Запись добавлена 16 мая 2025 г.
Passwords
Выражаем благодарность за помощь Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co).
Static Linker
Выражаем благодарность за помощь Holger Fuhrmannek.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.