Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.6

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 11.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11.6

afclip

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43186: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CFNetwork

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При обработке вредоносного аудиофайла возможно повреждение памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43277: подразделение Threat Analysis Group компании Google

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43210: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia Playback

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок разрешений.

CVE-2025-43230: Chi Yuan Chang из ZUSO ART и пользователь taikosoup

ICU

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43209: Gary Kwong в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43226

libxml2

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-7425: Sergei Glazunov из подразделения Google Project Zero

libxslt

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-7424: Ivan Fratric из Google Project Zero

Metal

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43234: Vlad Stolyarov из подразделения Threat Analysis Group компании Google

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43227: Gilad Moav

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43214: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) и Ziling Chen

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) из команды исследователей DEVCORE

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из Threat Analysis Group в Google

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь LIdong LI, Xiao Wang, Shao Dong Chen и Chao Tan из Source Guard.

CoreAudio

Выражаем благодарность за помощь Noah Weinberg.

libxml2

Выражаем благодарность за помощь Sergei Glazunov из подразделения Google Project Zero.

libxslt

Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.

Shortcuts

Выражаем благодарность за помощь Dennis Kniep.

WebKit

Выражаем благодарность за помощь Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei, rheza (@ginggilBesel).