Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.4
В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.4.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
watchOS 11.4
Дата выпуска: 1 апреля 2025 г.
AirDrop
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может считывать произвольные метаданные файла
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2025-24097: Ron Masas из BREAKPOINT.SH
AirPlay
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать неожиданное завершение работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24251: Uri Katz (Oligo Security)
Запись добавлена 28 апреля 2025 г.
Audio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может обойти ASLR.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-43205: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 29 июля 2025 г.
Audio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24244: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Audio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного файла может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24243: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Authentication Services
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Поля паролей могут автоматически заполняться после сбоя аутентификации
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-30430: Dominik Rath
Authentication Services
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносный веб-сайт может запрашивать учетные данные WebAuthn с другого веб-сайта, имеющего общий регистрируемый суффикс.
Описание. Проблема устранена путем улучшения проверки ввода.
CVE-2025-24180: Martin Kreichgauer из Google Chrome
BiometricKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Запись обновлена 28 мая 2025 г.
Calendar
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшения проверок.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24163: подразделение Threat Analysis Group компании Google
CoreAudio
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Воспроизведение вредоносного аудиофайла может приводить к неожиданному завершению работы приложения.
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2025-24230: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
CoreGraphics
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2025-31196: wac в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 28 мая 2025 г.
CoreMedia
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24190: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
CoreMedia Playback
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может получать доступ к личной информации.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2025-30454: pattern-f (@pattern_F_)
CoreServices
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo), Microsoft, а также анонимный исследователь
CoreText
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2025-24182: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
CoreUtils
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2025-31203: Uri Katz (Oligo Security)
Запись добавлена 28 апреля 2025 г.
curl
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Устранена проблема, связанная с проверкой ввода.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-9681
Focus
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-30439: Andr.Ess
Focus
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем удаления из журналов информации, не подлежащей разглашению.
CVE-2025-30447: пользователь LFY@secsys из Университета Фудань
ImageIO
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ изображения может приводить к раскрытию данных пользователя.
Описание. Логическая ошибка устранена путем улучшенной обработки файлов.
CVE-2025-24210: анонимный исследователь в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
IOGPUFamily
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2025-24257: Wang Yu из CyberServal
Kernel
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может попытаться ввести пароль на заблокированном устройстве и тем самым привести к нарастающей временной задержке после 4 неудачных попыток.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)
libarchive
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Устранена проблема, связанная с проверкой ввода.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-48958
libnetcore
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2025-24194: анонимный исследователь
libxml2
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может выходить за границы песочницы.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-24178: анонимный исследователь
libxpc
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может удалять файлы, для доступа к которым у него нет разрешения.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2025-31182: Alex Radocea и Dave G. из Supernetworks, пользователь 风沐云烟(@binary_fmyy) и Minghao Lin(@Y1nKoc)
libxpc
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2025-24238: анонимный исследователь
Maps
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с обработкой путей устранена за счет улучшения логики.
CVE-2025-30470: пользователь LFY@secsys из Университета Фудань
NetworkExtension
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может перечислять установленные пользователем приложения.
Описание. Проблема устранена путем ввода дополнительных проверок прав.
CVE-2025-30426: Jimmy
Power Services
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем ввода дополнительных проверок прав.
CVE-2025-24173: Mickey Jin (@patch1t)
Safari
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.
Описание. Проблема устранена путем улучшения пользовательского интерфейса.
CVE-2025-24113: @RenwaX23
Safari
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-30467: @RenwaX23
Safari
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Источник загрузки может быть неверно ассоциирован.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2025-24167: Syarif Muhammad Sajjad
Security
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai из Alibaba Group, а также Luyi Xing из Университета Индианы в Блумингтоне
Share Sheet
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может отключить системное уведомление на экране блокировки о том, что началась запись.
Описание. Проблема устранена путем улучшения ограничений доступа.
CVE-2025-30438: Halle Winkler, Politepix (theoffcuts.org)
Shortcuts
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Ярлык может получить доступ к файлам, которые обычно недоступны приложению «Ярлыки».
Описание. Проблема устранена путем улучшения ограничений доступа.
CVE-2025-30433: Andrew James Gonzalez
Siri
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения ограничений доступа к контейнерам данных.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Siri
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2025-24217: Kirin (@Pwnrin)
Siri
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем отказа от регистрации содержимого текстовых полей.
CVE-2025-24214: Kirin (@Pwnrin)
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное веб-содержимое может выходить за границы песочницы веб-содержимого. Это дополнительное исправление для атаки, которая была заблокирована в iOS 17.2. (Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 17.2.)
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.
WebKit Bugzilla: 285858
CVE-2025-24201: Apple
Запись добавлена 9 апреля 2025 г.
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong и анонимный исследователь
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker из ParagonERP
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) и анонимный исследователь
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа Safari.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 286580
CVE-2025-30425: анонимный исследователь
Дополнительные благодарности
Accounts
Выражаем благодарность за помощь Bohdan Stasiuk (@bohdan_stasiuk).
Apple Account
Выражаем благодарность за помощь Byron Fecho.
Find My
Выражаем благодарность за помощь пользователю 神罚(@Pwnrin).
Foundation
Выражаем благодарность за помощь Jann Horn из подразделения Google Project Zero.
Handoff
Выражаем благодарность за помощь пользователям Kirin и FlowerCode.
HearingCore
Выражаем благодарность за помощь пользователям Kirin@Pwnrin и LFY@secsys из Университета Фудань.
ImageIO
Выражаем благодарность за помощь пользователю D4m0n.
Выражаем благодарность за помощь пользователям Doria Tang, Ka Lok Wu, проф. Sze Yiu Chau из Китайского университета Гонконга, K宝 и LFY@secsys из Университета Фудань.
Messages
Выражаем благодарность за помощь пользователю parkminchan из университета Кореи.
Photos
Выражаем благодарность за помощь пользователю Bistrit Dahal.
Sandbox Profiles
Выражаем благодарность за помощь Benjamin Hornbeck.
SceneKit
Выражаем благодарность за помощь Marc Schoenefeld, док. ест. университета Кореи.
Screen Time
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина (Бхопал, Индия).
Security
Выражаем благодарность за помощь Kevin Jones (GitHub).
Settings
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из C-DAC Thiruvananthapuram (Индия).
Shortcuts
Выражаем благодарность за помощь пользователям Chi Yuan Chang из ZUSO ART, taikosoup и анонимному исследователю.
Siri
Выражаем благодарность за помощь пользователю Lyutoon.
Translations
Выражаем благодарность за помощь пользователю K宝 (@Pwnrin).
WebKit
Выражаем благодарность за помощь пользователям Gary Kwong, P1umer (@p1umer) и Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang и Daoyuan Wu из HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) из VXRL, Wong Wai Kin, Dongwei Xiao и Shuai Wang из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Xiangwei Zhang из Tencent Security YUNDING LAB, 냥냥, а также анонимному исследователю.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.