Informace o bezpečnostním obsahu watchOS 11.3
Tento dokument popisuje bezpečnostní obsah watchOS 11.3.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 11,3
Vydáno 27. ledna 2025
AirPlay
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi v místní síti se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť procesu.
Popis: Byl vyřešen problém s ověřováním vstupů.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2025-24137: Uri Katz (Oligo Security)
CoreAudio
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24123: Desmond ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) ve spolupráci se Zero Day Initiative společnosti Trend Micro
CoreMedia
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Škodlivé aplikaci se může podařit navýšit si oprávnění. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 17.2.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2025-24085
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-24086: DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) v Enki WhiteHat, D4m0n
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-24107: anonymní výzkumník
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém byl vyřešen vylepšením redigování citlivých údajů.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
SceneKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování souboru může vést k odhalení uživatelských informací.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2025-24149: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) z NUS CuriOSity a P1umer (@p1umer) ze společnosti Imperial Global Singapore.
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab
Další poděkování
Audio
Poděkování za pomoc zaslouží Google Threat Analysis Group.
CoreAudio
Poděkování za pomoc zaslouží Google Threat Analysis Group.
CoreMedia Playback
Poděkování za pomoc zaslouží Song Hyun Bae (@bshyuunn) a Lee Dong Ha (Who4mI).
Passwords
Poděkování za pomoc zaslouží Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. @mysk_co.
Static Linker
Poděkování za pomoc zaslouží Holger Fuhrmannek.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.