Om sikkerhedsindholdet i watchOS 11.4

I dette dokument beskrives sikkerhedsindholdet i watchOS 11.4.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 11.4

AirDrop

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis læse vilkårlige arkivmetadata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-24097: Ron Masas fra BREAKPOINT.SH

AirPlay

Fås til: Apple Watch Series 6 og nyere

Effekt: En hacker på et det lokale netværk kan muligvis forårsage en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis omgå ASLR

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43205: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24244: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24243: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Authentication Services

Fås til: Apple Watch Series 6 og nyere

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30430: Dominik Rath

Authentication Services

Fås til: Apple Watch Series 6 og nyere

Effekt: Et skadeligt websted kan muligvis hente WebAuthn-loginoplysninger fra et andet websted, der deler et suffiks, som kan registreres

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2025-24180: Martin Kreichgauer fra Google Chrome

BiometricKit

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Fås til: Apple Watch Series 6 og nyere

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Fås til: Apple Watch Series 6 og nyere

Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24230: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2025-31196: wac, der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24190: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia Playback

Fås til: Apple Watch Series 6 og nyere

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) fra Microsoft og en anonym programmør

CoreText

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24182: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Fås til: Apple Watch Series 6 og nyere

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Fås til: Apple Watch Series 6 og nyere

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-9681

Focus

Fås til: Apple Watch Series 6 og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-30439: Andr.Ess

Focus

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at rense logføring

CVE-2025-30447: LFY@secsys fra Fudan University

ImageIO

Fås til: Apple Watch Series 6 og nyere

Effekt: Parsing af et billede kan medføre afsløring af brugeroplysninger

Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.

CVE-2025-24210: Anonym, der arbejder med Trend Micros Zero Day Initiative

IOGPUFamily

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2025-24257: Wang Yu fra Cyberserval

Kernel

Fås til: Apple Watch Series 6 og nyere

Effekt: En skadelig app kan muligvis forsøge at få adgang via kode på en låst enhed og dermed forårsage større tidsforsinkelser efter 4 forkerte forsøg

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Fås til: Apple Watch Series 6 og nyere

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-48958

libnetcore

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24194: en anonym programmør

libxml2

Fås til: Apple Watch Series 6 og nyere

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24178: en anonym programmør

libxpc

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis slette arkiver, som den ikke har tilladelse til

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2025-31182: Alex Radocea og Dave G. fra Supernetworks, 风沐云烟(@binary_fmyy) og Minghao Lin(@Y1nKoc)

libxpc

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24238: en anonym programmør

Maps

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2025-30470: LFY@secsys fra Fudan University

NetworkExtension

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-30426: Jimmy

Power Services

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Fås til: Apple Watch Series 6 og nyere

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

CVE-2025-24113: @RenwaX23

Safari

Fås til: Apple Watch Series 6 og nyere

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-30467: @RenwaX23

Safari

Fås til: Apple Watch Series 6 og nyere

Effekt: En overførsels oprindelse er muligvis forkert tilknyttet

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Fås til: Apple Watch Series 6 og nyere

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai fra Alibaba Group, Luyi Xing fra Indiana University Bloomington

Share Sheet

Fås til: Apple Watch Series 6 og nyere

Effekt: En skadelig app kan muligvis afvise systemnotifikationen på den låste skærm, hvor en optagelse blev startet

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Fås til: Apple Watch Series 6 og nyere

Effekt: En genvej kan muligvis få adgang til arkiver, som appen Genveje normalt ikke kan få adgang til

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30433: Andrew James Gonzalez

Siri

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Fås til: Apple Watch Series 6 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved ikke at logge indhold i tekstfelter.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Fås til: Apple Watch Series 6 og nyere

Effekt: Skadeligt webindhold kan muligvis frigøre sig fra sandbox med webindhold. Dette er en supplerende løsning til et angreb, der blev blokeret i iOS 17.2. (Apple er opmærksom på, at dette problem muligvis er blevet udnyttet i et yderst avanceret angreb rettet mod specifikke personer i versioner af iOS fra før iOS 17.2).

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2025-24201: Apple

WebKit

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24264: Gary Kwong og en anonym programmør

CVE-2025-24216: Paul Bakker fra ParagonERP

WebKit

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2025-24209: Francisco Alonso (@revskills) og en anonym programmør

WebKit

Fås til: Apple Watch Series 6 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Fås til: Apple Watch Series 6 og nyere

Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30425: en anonym programmør

Yderligere anerkendelser

Accounts

Vi vil gerne takke Bohdan Stasiuk (@bohdan_stasiuk) for hjælpen.

Apple Account

Vi vil gerne takke Byron Fecho for hjælpen.

Find My

Vi vil gerne takke 神罚(@Pwnrin) for hjælpen.

Foundation

Vi vil gerne takke Jann Horn fra Google Project Zero for dennes assistance.

Handoff

Vi vil gerne takke Kirin og FlowerCode for hjælpen.

HearingCore

Vi vil gerne takke Kirin@Pwnrin og LFY@secsys fra Fudan University for hjælpen.

ImageIO

Vi vil gerne takke D4m0n for hjælpen.

Mail

Vi vil gerne takke Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau fra The Chinese University of Hong Kong, K宝 og LFY@secsys fra Fudan University for hjælpen.

Messages

Vi vil gerne takke parkminchan fra Korea Univ. for hjælpen.

Photos

Vi vil gerne takke Bistrit Dahal for hjælpen.

Sandbox Profiles

Vi vil gerne takke Benjamin Hornbeck for hjælpen.

SceneKit

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

Screen Time

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Security

Vi vil gerne takke Kevin Jones (GitHub) for hjælpen.

Settings

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram, Indien, for hjælpen.

Shortcuts

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup og en anonym programmør for hjælpen.

Siri

Vi vil gerne takke Lyutoon for hjælpen.

Translations

Vi vil gerne takke K宝(@Pwnrin) for hjælpen.

WebKit

Vi vil gerne takke Gary Kwong, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu fra HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) fra VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL., Xiangwei Zhang fra Tencent Security YUNDING LAB, 냥냥 og en anonym programmør for hjælpen.