เกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.5
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ watchOS 11.5
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
watchOS 11.5
เปิดตัวเมื่อวันที่ 12 พฤษภาคม 2025
AppleJPEG
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการกรองอินพุตให้ดียิ่งขึ้น
CVE-2025-31251: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
Core Bluetooth
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-31212: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)
CoreAudio
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลสตรีมเสียงในไฟล์มีเดียที่ถูกสร้างขึ้นอย่างเจตนาร้ายอาจส่งผลให้เกิดการใช้โค้ด Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้ในแผนการโจมตีที่มีความสลับซับซ้อนสูงต่อบุคคลเป้าหมายบางรายที่ใช้เวอร์ชั่นของ iOS ก่อน iOS 18.4.1
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-31200: กลุ่มวิเคราะห์ภัยคุกคามของ Apple และ Google
CoreAudio
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-31208: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
CoreGraphics
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-31209: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
CoreMedia
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-31239: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
CoreMedia
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการกรองอินพุตให้ดียิ่งขึ้น
CVE-2025-31233: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
ImageIO
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-31226: Saagar Jha
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-24224: Tony Iskow (@Tybbow)
เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2025
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือทำให้หน่วยความจำเคอร์เนลเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-31219: Michael DePlante (@izobashi) และ Lucas Leong (@_wmliang_) of Trend Micro Zero Day Initiative
Kernel
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-31241: Christian Kohlschütter
libexpat
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: พบหลายปัญหาใน libexpat รวมถึงการที่แอปหยุดทำงานโดยไม่คาดคิดหรือการรันโค้ดโดยพลการ
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2024-8176
mDNSResponder
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาความถูกต้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Security
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2025-31221: Dave G.
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: ปัญหาความสับสนของประเภทอาจทำให้เกิดความเสียหายต่อหน่วยความจำ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ floats
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) และนักวิจัยนิรนาม
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang(@eternalsakura13)
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang และ Jikai Ren
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 290834
CVE-2025-31206: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied of Lynck GmbH
คำขอบคุณพิเศษ
AirDrop
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dalibor Milanovic
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
MobileGestalt
เราขอขอบคุณสำหรับความช่วยเหลือจาก iisBuri
NetworkExtension
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andrei-Alexandru Bleorțu
Shortcuts
เราขอขอบคุณ Candace Jensen จาก Kandji, Chi Yuan Chang จาก ZUSO ART และ taikosoup, Egor Filatov (Positive Technologies) ที่ให้ความช่วยเหลือ
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Mike Dougherty และ Daniel White of Google Chrome และนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม