เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.3

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่แผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 11.3

CoreAudio

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-24123: Desmond ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car และ Rotiple (HyeongSeok Jang) ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreMedia

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถยกระดับสิทธิ์ได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 17.2

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24085

CoreMedia Playback

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24184: Song Hyun Bae (@bshyuunn) และ Lee Dong Ha (Who4mI)

Display

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-24111: Wang Yu จาก Cyberserval

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24086: DongJun Kim (@smlijun) และ JongSeong Kim (@nevul37) ใน Enki WhiteHat, D4m0n

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจได้รับสิทธิ์ระดับรูท

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-24107: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-55549: Ivan Fratric จาก Google Project Zero

CVE-2025-24855: Ivan Fratric จาก Google Project Zero

PackageKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-24149: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-24189: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24158: Q1IQ (@q1iqF) จาก NUS CuriOSity และ P1umer (@p1umer) จาก Imperial Global Singapore

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-24162: linjy จาก HKUS3Lab และ chluo จาก WHUSecLab

คำขอบคุณพิเศษ

Audio

เราขอขอบคุณ Google Threat Analysis Group ที่ให้ความช่วยเหลือ

CoreAudio

เราขอขอบคุณ Google Threat Analysis Group ที่ให้ความช่วยเหลือ

iCloud

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College of Technology Bhopal India, George Kovaios, Srijan Poudel ที่ให้ความช่วยเหลือ

Passwords

เราขอขอบคุณ Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co ที่ให้ความช่วยเหลือ

Static Linker

เราขอขอบคุณ Holger Fuhrmannek ที่ให้ความช่วยเหลือ