關於 watchOS 11.3 的安全性內容
本文說明 watchOS 11.3 的安全性內容。
關於 Apple 安全性更新
為保障客戶的安全,Apple 在進行調查並提供修補程式或版本之前,不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性發佈」頁面上。
Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。
如需安全性的詳細資訊,請參閱「Apple 產品安全性」頁面。
watchOS 11.3
2025 年 1 月 27 日發行
CoreAudio
適用於:Apple Watch Series 6 和後續錶款
影響:剖析檔案時,可能導致 App 意外終止
說明:改進檢查機制後,已解決此問題。
CVE-2025-24160:Google Threat Analysis Group
CVE-2025-24161:Google Threat Analysis Group
CVE-2025-24163:Google Threat Analysis Group
CoreMedia
適用於:Apple Watch Series 6 和後續錶款
影響:剖析檔案時,可能導致 App 意外終止
說明:改進檢查機制後,已解決此問題。
CVE-2025-24123:Desmond(與 Trend Micro 的 Zero Day Initiative 合作)
CVE-2025-24124:Pwn2car & Rotiple(HyeongSeok Jang)(與 Trend Micro 的 Zero Day Initiative 合作)
CoreMedia
適用於:Apple Watch Series 6 和後續錶款
影響:惡意應用程式或許可以提高權限。Apple 注意到有報告指出,有人利用此問題來積極攻擊 iOS 17.2 之前的 iOS 版本。
說明:改進記憶體管理機制後,已解決使用釋放後記憶體出錯問題。
CVE-2025-24085
CoreMedia Playback
適用於:Apple Watch Series 6 和後續錶款
影響:App 或許可以導致系統意外終止
說明:改進記憶體處理機制後,已解決此問題。
CVE-2025-24184:Song Hyun Bae(@bshyuunn)和 Lee Dong Ha(Who4mI)
2025 年 5 月 16 日新增項目
Display
適用於:Apple Watch Series 6 和後續錶款
影響:App 或許可以導致系統意外終止
說明:改進狀態管理機制後,已解決記憶體損毀問題。
CVE-2025-24111:Cyberserval 的 Wang Yu
2025 年 5 月 12 日新增項目
ImageIO
適用於:Apple Watch Series 6 和後續錶款
影響:處理影像可能導致阻斷服務
說明:改進記憶體處理機制後,已解決此問題。
CVE-2025-24086:Enki WhiteHat 的 DongJun Kim(@smlijun)和 JongSeong Kim(@nevul37)、D4m0n
Kernel
適用於:Apple Watch Series 6 和後續錶款
影響:App 可能得以洩漏敏感的核心狀態
說明:移除易受攻擊的程式碼後,已解決資訊外洩問題。
CVE-2025-24144:Mateusz Krzywicki(@krzywix)
2025 年 5 月 12 日新增項目
Kernel
適用於:Apple Watch Series 6 和後續錶款
影響:惡意 App 或許可以取得根權限
說明:增加限制機制後,已解決權限問題。
CVE-2025-24107:匿名研究員
Kernel
適用於:Apple Watch Series 6 和後續錶款
影響:App 或許可以利用核心權限執行任何程式碼
說明:改進邏輯機制後,已解決驗證問題。
CVE-2025-24159:pattern-f(@pattern_F_)
LaunchServices
適用於:Apple Watch Series 6 和後續錶款
影響:App 或許可以建立使用者的獨有識別資料
說明:改進敏感資訊修訂機制後,已解決此問題。
CVE-2025-24117:Michael(Biscuit)Thomas(@biscuit@social.lol)
libxslt
適用於:Apple Watch Series 6 和後續錶款
影響:處理惡意製作的網頁內容可能導致程序意外當機
說明:這是開放原始碼的漏洞,而 Apple 軟體是受影響的專案之一。CVE-ID 是由第三方指派。前往 cve.org,進一步了解此問題和 CVE-ID。
CVE-2024-55549:Google Project Zero 的 Ivan Fratric
CVE-2025-24855:Google Project Zero 的 Ivan Fratric
2025 年 5 月 16 日新增項目
PackageKit
適用於:Apple Watch Series 6 和後續錶款
影響:App 或許可以修改檔案系統的受保護部分
說明:增加限制機制後,已解決權限問題。
CVE-2025-31262:Mickey Jin(@patch1t)
2025 年 5 月 16 日新增項目
SceneKit
適用於:Apple Watch Series 6 和後續錶款
影響:剖析檔案時可能導致使用者資訊洩漏
說明:改進界限檢查機制後,已解決超出界限的讀取問題。
CVE-2025-24149:Trend Micro Zero Day Initiative 的 Michael DePlante(@izobashi)
WebKit
適用於:Apple Watch Series 6 和後續錶款
影響:處理惡意製作的網頁內容可能導致記憶體損毀
說明:改進檢查機制後,已解決此問題。
WebKit Bugzilla:284332
CVE-2025-24189:匿名研究員
2025 年 5 月 16 日新增項目
WebKit
適用於:Apple Watch Series 6 和後續錶款
影響:處理網頁內容可能導致阻斷服務
說明:改進記憶體處理機制後,已解決此問題。
WebKit Bugzilla:283889
CVE-2025-24158:NUS CuriOSity 的 Q1IQ(@q1iqF)和 Imperial Global Singapore 的 P1umer(@p1umer)。
WebKit
適用於:Apple Watch Series 6 和後續錶款
影響:處理惡意製作的網頁內容可能導致程序意外當機
說明:改進狀態管理機制後,已解決此問題。
WebKit Bugzilla:284159
CVE-2025-24162:HKUS3Lab 的 linjy 和 WHUSecLab 的 chluo
特別鳴謝
Audio
我們要感謝 Google Threat Analysis Group 提供協助。
CoreAudio
我們要感謝 Google Threat Analysis Group 提供協助。
iCloud
我們要感謝印度博帕爾 Lakshmi Narain College Of Technology 的 Abhay Kailasia(@abhay_kailasia)及 George Kovaios、Srijan Poudel 提供協助。
2025 年 5 月 16 日新增項目
Passwords
我們要感謝 Mysk Inc. @mysk_co 的 Talal Haj Bakry 和 Tommy Mysk 提供協助。
Static Linker
我們要感謝 Holger Fuhrmannek 提供協助。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。