Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.4

В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11.4

AirDrop

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может считывать произвольные метаданные файла

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24097: Ron Masas из BREAKPOINT.SH

AirPlay

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать неожиданное завершение работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может обойти ASLR.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43205: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24244: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24243: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Authentication Services

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Поля паролей могут автоматически заполняться после сбоя аутентификации

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-30430: Dominik Rath

Authentication Services

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может запрашивать учетные данные WebAuthn с другого веб-сайта, имеющего общий регистрируемый суффикс.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-24180: Martin Kreichgauer из Google Chrome

BiometricKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24163: подразделение Threat Analysis Group компании Google

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Воспроизведение вредоносного аудиофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.

CVE-2025-24230: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CoreGraphics

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-31196: wac в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24190: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CoreMedia Playback

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может получать доступ к личной информации.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo), Microsoft, а также анонимный исследователь

CoreText

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.

CVE-2025-24182: Hossein Lotfi (@hosselot) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CoreUtils

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Устранена проблема, связанная с проверкой ввода.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-9681

Focus

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-30439: Andr.Ess

Focus

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем удаления из журналов информации, не подлежащей разглашению.

CVE-2025-30447: пользователь LFY@secsys из Университета Фудань

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ изображения может приводить к раскрытию данных пользователя.

Описание. Логическая ошибка устранена путем улучшенной обработки файлов.

CVE-2025-24210: анонимный исследователь в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

IOGPUFamily

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-24257: Wang Yu из CyberServal

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может попытаться ввести пароль на заблокированном устройстве и тем самым привести к нарастающей временной задержке после 4 неудачных попыток.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)

libarchive

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Устранена проблема, связанная с проверкой ввода.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-48958

libnetcore

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-24194: анонимный исследователь

libxml2

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24178: анонимный исследователь

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может удалять файлы, для доступа к которым у него нет разрешения.

Описание. Проблема устранена путем улучшенной обработки символических ссылок.

CVE-2025-31182: Alex Radocea и Dave G. из Supernetworks, пользователь 风沐云烟(@binary_fmyy) и Minghao Lin(@Y1nKoc)

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-24238: анонимный исследователь

Maps

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с обработкой путей устранена за счет улучшения логики.

CVE-2025-30470: пользователь LFY@secsys из Университета Фудань

NetworkExtension

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-30426: Jimmy

Power Services

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема устранена путем улучшения пользовательского интерфейса.

CVE-2025-24113: @RenwaX23

Safari

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-30467: @RenwaX23

Safari

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Источник загрузки может быть неверно ассоциирован.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai из Alibaba Group, а также Luyi Xing из Университета Индианы в Блумингтоне

Share Sheet

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может отключить системное уведомление на экране блокировки о том, что началась запись.

Описание. Проблема устранена путем улучшения ограничений доступа.

CVE-2025-30438: Halle Winkler, Politepix (theoffcuts.org)

Shortcuts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Ярлык может получить доступ к файлам, которые обычно недоступны приложению «Ярлыки».

Описание. Проблема устранена путем улучшения ограничений доступа.

CVE-2025-30433: Andrew James Gonzalez

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения ограничений доступа к контейнерам данных.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем отказа от регистрации содержимого текстовых полей.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное веб-содержимое может выходить за границы песочницы веб-содержимого. Это дополнительное исправление для атаки, которая была заблокирована в iOS 17.2. (Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 17.2.)

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2025-24201: Apple

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24264: Gary Kwong и анонимный исследователь

CVE-2025-24216: Paul Bakker из ParagonERP

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-24209: Francisco Alonso (@revskills) и анонимный исследователь

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа Safari.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-30425: анонимный исследователь

Дополнительные благодарности

Accounts

Выражаем благодарность за помощь Bohdan Stasiuk (@bohdan_stasiuk).

Apple Account

Выражаем благодарность за помощь Byron Fecho.

Find My

Выражаем благодарность за помощь пользователю 神罚(@Pwnrin).

Foundation

Выражаем благодарность за помощь Jann Horn из подразделения Google Project Zero.

Handoff

Выражаем благодарность за помощь пользователям Kirin и FlowerCode.

HearingCore

Выражаем благодарность за помощь пользователям Kirin@Pwnrin и LFY@secsys из Университета Фудань.

ImageIO

Выражаем благодарность за помощь пользователю D4m0n.

Mail

Выражаем благодарность за помощь пользователям Doria Tang, Ka Lok Wu, проф. Sze Yiu Chau из Китайского университета Гонконга, K宝 и LFY@secsys из Университета Фудань.

Messages

Выражаем благодарность за помощь пользователю parkminchan из университета Кореи.

Photos

Выражаем благодарность за помощь пользователю Bistrit Dahal.

Sandbox Profiles

Выражаем благодарность за помощь Benjamin Hornbeck.

SceneKit

Выражаем благодарность за помощь Marc Schoenefeld, док. ест. университета Кореи.

Screen Time

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина (Бхопал, Индия).

Security

Выражаем благодарность за помощь Kevin Jones (GitHub).

Settings

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из C-DAC Thiruvananthapuram (Индия).

Shortcuts

Выражаем благодарность за помощь пользователям Chi Yuan Chang из ZUSO ART, taikosoup и анонимному исследователю.

Siri

Выражаем благодарность за помощь пользователю Lyutoon.

Translations

Выражаем благодарность за помощь пользователю K宝 (@Pwnrin).

WebKit

Выражаем благодарность за помощь пользователям Gary Kwong, P1umer (@p1umer) и Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang и Daoyuan Wu из HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) из VXRL, Wong Wai Kin, Dongwei Xiao и Shuai Wang из HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) из VXRL, Xiangwei Zhang из Tencent Security YUNDING LAB, 냥냥, а также анонимному исследователю.