Проблеми системи безпеки, які усунено в оновленні watchOS 11.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.3.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 11,3

AirPlay

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник у локальній мережі може спричинити несподіване завершення роботи системи або пошкодження пам’яті процесів.

Опис: проблему, пов’язану з перевіркою вводу, вирішено.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: віддалений зловмисник може призвести до неочікуваного завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник із привілейованим положенням може викликати відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2025-24137: Uri Katz (Oligo Security)

CoreAudio

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24160: група аналізу загроз Google

CVE-2025-24161: група аналізу загроз Google

CVE-2025-24163: група аналізу загроз Google

CoreMedia

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CoreMedia

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: шкідлива програма може підвищувати рівень привілеїв. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 17.2.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2025-24085

ImageIO

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n

Kernel

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-24107: анонімний дослідник

Kernel

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

SceneKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-24158: Q1IQ (@q1iqF) із NUS CuriOSity і P1umer (@p1umer) з Imperial Global Singapore.

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-24162: linjy із HKUS3Lab і chluo з WHUSecLab

Додаткова подяка

Аудіовихід

Дякуємо за допомогу групі аналізу загроз Google.

CoreAudio

Дякуємо за допомогу групі аналізу загроз Google.

CoreMedia Playback

Дякуємо за допомогу Song Hyun Bae (@bshyuunn) і Lee Dong Ha (Who4mI).

Passwords

Дякуємо за допомогу Talal Haj Bakry і Tommy Mysk із Mysk Inc. @mysk_co.

Static Linker

Дякуємо за допомогу Holger Fuhrmannek.