watchOS 11.3のセキュリティコンテンツについて

watchOS 11.3のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

watchOS 11.3

AirPlay

対象：Apple Watch Series 6以降

影響：ローカルネットワーク上の攻撃者にシステムを突然終了されたり、プロセスメモリを破損されたりする可能性がある。

説明：入力検証における脆弱性に対処しました。

CVE-2025-24126：Uri Katz氏（Oligo Security）

AirPlay

対象：Apple Watch Series 6以降

影響：リモート攻撃者によってアプリが突然終了される可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-24129：Uri Katz氏（Oligo Security）

AirPlay

対象：Apple Watch Series 6以降

影響：特権的な地位を悪用した攻撃者がサービス運用妨害を仕掛けてくる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24131：Uri Katz氏（Oligo Security）

AirPlay

対象：Apple Watch Series 6以降

影響：リモート攻撃者によって、アプリケーションが突然終了されたり、任意のコードが実行されたりする可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-24137：Uri Katz氏（Oligo Security）

CoreAudio

対象：Apple Watch Series 6以降

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24160：Google Threat Analysis Group

CVE-2025-24161：Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

対象：Apple Watch Series 6以降

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24123：Trend Micro Zero Day Initiativeに協力するDesmond氏

CVE-2025-24124：Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple（HyeongSeok Jang氏）

CoreMedia

対象：Apple Watch Series 6以降

影響：悪意のあるアプリケーションに権限を昇格される可能性がある。Appleでは、iOS 17.2より前のバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-24085

ImageIO

対象：Apple Watch Series 6以降

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24086：Enki WhiteHatのDongJun Kim氏（@smlijun）およびJongSeong Kim氏（@nevul37）、D4m0n氏

Kernel

対象：Apple Watch Series 6以降

影響：悪意のあるアプリがルート権限を取得できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-24107：匿名の研究者

Kernel

対象：Apple Watch Series 6以降

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：ロジックを改良し、検証の脆弱性に対処しました。

CVE-2025-24159：pattern-f氏（@pattern_F）

LaunchServices

対象：Apple Watch Series 6以降

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-24117：Michael（Biscuit）Thomas氏（@biscuit@social.lol）

SceneKit

対象：Apple Watch Series 6以降

影響：ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2025-24149：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

WebKit

対象：Apple Watch Series 6以降

影響：Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24158：NUS CuriOSityのQ1IQ氏（@q1iqF）およびImperial Global SingaporeのP1umer氏（@p1umer）

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-24162：HKUS3Labのlinjy氏およびWHUSecLabのchluo氏

ご協力いただいたその他の方々

Audio

Google Threat Analysis Groupのご協力に感謝いたします。

CoreAudio

Google Threat Analysis Groupのご協力に感謝いたします。

CoreMedia Playback

Song Hyun Bae氏（@bshyuunn）およびLee Dong Ha氏（Who4mI）のご協力に感謝いたします。

Passwords

Mysk Inc. @mysk_coのTalal Haj Bakry氏およびTommy Mysk氏のご協力に感謝いたします。

Static Linker

Holger Fuhrmannek氏のご協力に感謝いたします。