Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.5

В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11,5

AppleJPEG

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения очистки ввода.

CVE-2025-31251: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

Core Bluetooth

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-31212: Guilherme Rambo из Best Buddy Apps (rambo.codes)

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к выполнению кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на пользователей с версиями iOS, выпущенными до iOS 18.4.1.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-31200: подразделения Threat Analysis Group компаний Apple и Google

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31208: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreGraphics

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-31209: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-31239: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения очистки ввода.

CVE-2025-31233: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-31226: Saagar Jha

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31219: Michael DePlante (@izobashi) и Lucas Leong (@_wmliang_) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема двойного освобождения устранена путем улучшения управления памятью.

CVE-2025-31241: Christian Kohlschütter

libexpat

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Ряд проблем в libexpat, в том числе неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-8176

mDNSResponder

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Пользователь может повышать уровень привилегий.

Описание. Проблема с правильностью устранена путем улучшения проверок.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Security

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может инициировать утечку данных памяти.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2025-31221: Dave G.

StoreKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2025-31242: Eric Dorphy из Twin Cities App Dev LLC

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Проблема смешения типов может привести к повреждению памяти.

Описание. Эта проблема устранена путем улучшения обработки значений с плавающей запятой.

CVE-2025-24213: Google V8 Security Team

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CVE-2025-31238: wac в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24223: rheza (@ginggilBesel), Edouard Bochin (@le_douds) и Tao Yan (@Ga1ois) из Palo Alto Networks

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31215: Jiming Wang и Jikai Ren

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-31206: Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-31205: Ivan Fratric из Google Project Zero

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31257: Juergen Schmied из Lynck GmbH

Wi-Fi

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, находящийся рядом с устройством, может вызвать чтение данных за границами выделенной области памяти ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43374: jioundai из 360 Vulnerability Research Institute, chen fengjiao из HBC

Дополнительные благодарности

AirDrop

Выражаем благодарность за помощь пользователю Dalibor Milanovic.

Kernel

Выражаем благодарность за помощь анонимному исследователю.

MobileGestalt

Выражаем благодарность за помощь пользователю iisBuri.

NetworkExtension

Выражаем благодарность за помощь пользователю Andrei-Alexandru Bleorțu.

Shortcuts

Выражаем благодарность за помощь Candace Jensen из Kandji, Chi Yuan Chang из ZUSO ART и taikosoup, Egor Filatov из Positive Technologies.

WebKit

Выражаем благодарность за помощь пользователям Mike Dougherty и Daniel White из Google Chrome и анонимному исследователю.