Om säkerhetsinnehållet i watchOS 11.5

I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 11.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

watchOS 11.5

AppleJPEG

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.

CVE-2025-31251: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Core Bluetooth

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan få åtkomst till känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31212: Guilherme Rambo på Best Buddy Apps (rambo.codes)

CoreAudio

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Om du bearbetar en ljudström i en skadlig mediafil kan det leda till att koden körs. Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 18.4.1.

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad kontroll av gränser.

CVE-2025-31200: Apple och Google Threat Analysis Group

CoreAudio

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreGraphics

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-31209: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-31239: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en videofil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades genom förbättrad indatasanering.

CVE-2025-31233: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En fjärrangripare kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-31219: Michael DePlante (@izobashi) och Lucas Leong (@_wmliang_) på Trend Micro Zero Day Initiative

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: en fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Ett dubbelt fritt fel åtgärdades genom förbättrad minneshantering.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Flera problem i libexpat, bland annat oväntat appavslut eller körning av opålitlig kod

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-8176

mDNSResponder

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En användare kanske kan öka behörigheten

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Security

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2025-31221: Dave G.

StoreKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2025-31242: Eric Dorphy på Twin Cities App Dev LLC

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Ett problem med sammanblandning av typer kan leda till minneskorruption

Beskrivning: Problemet åtgärdades genom förbättrad hantering av flyttal.

CVE-2025-24213: Google V8 Security Team

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31223: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

CVE-2025-31238: wac i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24223: rheza (@ginggilBesel), Edouard Bochin (@le_douds) och Tao Yan (@Ga1ois) på Palo Alto Networks

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31215: Jiming Wang och Jikai Ren

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2025-31206: Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-31205: Ivan Fratric på Google Project Zero

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet åtgärdades med förbättrad minneshantering.

CVE-2025-31257: Juergen Schmied på Lynck GmbH

Wi-Fi

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En angripare som befinner sig fysiskt i närheten kanske kan orsaka en läsning utanför gränserna i kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43374: jioundai på 360 Vulnerability Research Institute, chen fengjiao på HBC

Ytterligare tack

AirDrop

Vi vill tacka Dalibor Milanovic för hjälpen.

Kernel

Vi vill tacka en anonym forskare för hjälpen.

MobileGestalt

Vi vill tacka iisBuri för hjälpen.

NetworkExtension

Vi vill tacka Andrei-Alexandru Bleorțu för hjälpen.

Shortcuts

Vi vill tacka Candace Jensen på Kandji, Chi Yuan Chang på ZUSO ART och taikosoup, Egor Filatov (Positive Technologies) för hjälpen.

WebKit

Vi vill tacka Mike Dougherty och Daniel White på Google Chrome och en anonym forskare för hjälpen.