Om sikkerhedsindholdet i watchOS 11.4
I dette dokument beskrives sikkerhedsindholdet i watchOS 11.4.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 11.4
Udgivet 01. april 2025
AirDrop
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis læse vilkårlige arkivmetadata
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2025-24097: Ron Masas fra BREAKPOINT.SH
AirPlay
Fås til: Apple Watch Series 6 og nyere
Effekt: En hacker på et det lokale netværk kan muligvis forårsage en uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-24251: Uri Katz (Oligo Security)
Post tilføjet 28. april 2025
Audio
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis omgå ASLR
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2025-43205: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
Post tilføjet 29. juli 2025
Audio
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24244: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
Audio
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24243: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
Authentication Services
Fås til: Apple Watch Series 6 og nyere
Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-30430: Dominik Rath
Authentication Services
Fås til: Apple Watch Series 6 og nyere
Effekt: Et skadeligt websted kan muligvis hente WebAuthn-loginoplysninger fra et andet websted, der deler et suffiks, som kan registreres
Beskrivelse: Problemet er løst via forbedret validering af input.
CVE-2025-24180: Martin Kreichgauer fra Google Chrome
BiometricKit
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan forårsage uventet systemlukning
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Post opdateret 28. maj 2025
Calendar
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst via forbedret kontrol.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Fås til: Apple Watch Series 6 og nyere
Effekt: Parsing af et arkiv kan medføre en uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
Fås til: Apple Watch Series 6 og nyere
Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2025-24230: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
CoreGraphics
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.
CVE-2025-31196: wac, der arbejder med Trend Micro Zero Day Initiative
Post tilføjet 28. maj 2025
CoreMedia
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning eller beskadige proceshukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2025-24190: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
CoreMedia Playback
Fås til: Apple Watch Series 6 og nyere
Effekt: En skadelig app kan muligvis få adgang til private oplysninger
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2025-30454: pattern-f (@pattern_F_)
CoreServices
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) fra Microsoft og en anonym programmør
CoreText
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2025-24182: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
CoreUtils
Fås til: Apple Watch Series 6 og nyere
Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2025-31203: Uri Katz (Oligo Security)
Post tilføjet 28. april 2025
curl
Fås til: Apple Watch Series 6 og nyere
Effekt: Et problem med inputvalidering er løst
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2024-9681
Focus
Fås til: Apple Watch Series 6 og nyere
Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-30439: Andr.Ess
Focus
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst ved at rense logføring
CVE-2025-30447: LFY@secsys fra Fudan University
ImageIO
Fås til: Apple Watch Series 6 og nyere
Effekt: Parsing af et billede kan medføre afsløring af brugeroplysninger
Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.
CVE-2025-24210: Anonym, der arbejder med Trend Micros Zero Day Initiative
IOGPUFamily
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2025-24257: Wang Yu fra Cyberserval
Kernel
Fås til: Apple Watch Series 6 og nyere
Effekt: En skadelig app kan muligvis forsøge at få adgang via kode på en låst enhed og dermed forårsage større tidsforsinkelser efter 4 forkerte forsøg
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol
libarchive
Fås til: Apple Watch Series 6 og nyere
Effekt: Et problem med inputvalidering er løst
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2024-48958
libnetcore
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2025-24194: en anonym programmør
libxml2
Fås til: Apple Watch Series 6 og nyere
Effekt: Parsing af et arkiv kan medføre en uventet applukning
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-24178: en anonym programmør
libxpc
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis slette arkiver, som den ikke har tilladelse til
Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.
CVE-2025-31182: Alex Radocea og Dave G. fra Supernetworks, 风沐云烟(@binary_fmyy) og Minghao Lin(@Y1nKoc)
libxpc
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2025-24238: en anonym programmør
Maps
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.
CVE-2025-30470: LFY@secsys fra Fudan University
NetworkExtension
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps
Beskrivelse: Problemet er løst via ekstra rettighedskontroller.
CVE-2025-30426: Jimmy
Power Services
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst via ekstra rettighedskontroller.
CVE-2025-24173: Mickey Jin (@patch1t)
Safari
Fås til: Apple Watch Series 6 og nyere
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.
CVE-2025-24113: @RenwaX23
Safari
Fås til: Apple Watch Series 6 og nyere
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2025-30467: @RenwaX23
Safari
Fås til: Apple Watch Series 6 og nyere
Effekt: En overførsels oprindelse er muligvis forkert tilknyttet
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2025-24167: Syarif Muhammad Sajjad
Security
Fås til: Apple Watch Series 6 og nyere
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai fra Alibaba Group, Luyi Xing fra Indiana University Bloomington
Share Sheet
Fås til: Apple Watch Series 6 og nyere
Effekt: En skadelig app kan muligvis afvise systemnotifikationen på den låste skærm, hvor en optagelse blev startet
Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
Fås til: Apple Watch Series 6 og nyere
Effekt: En genvej kan muligvis få adgang til arkiver, som appen Genveje normalt ikke kan få adgang til
Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.
CVE-2025-30433: Andrew James Gonzalez
Siri
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst via forbedret begrænsning af adgangen til databeholdere.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Siri
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.
CVE-2025-24217: Kirin (@Pwnrin)
Siri
Fås til: Apple Watch Series 6 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et anonymitetsproblem er løst ved ikke at logge indhold i tekstfelter.
CVE-2025-24214: Kirin (@Pwnrin)
WebKit
Fås til: Apple Watch Series 6 og nyere
Effekt: Skadeligt webindhold kan muligvis frigøre sig fra sandbox med webindhold. Dette er en supplerende løsning til et angreb, der blev blokeret i iOS 17.2. (Apple er opmærksom på, at dette problem muligvis er blevet udnyttet i et yderst avanceret angreb rettet mod specifikke personer i versioner af iOS fra før iOS 17.2).
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
WebKit Bugzilla: 285858
CVE-2025-24201: Apple
Post tilføjet 9. april 2025
WebKit
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong og en anonym programmør
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker fra ParagonERP
WebKit
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) og en anonym programmør
WebKit
Fås til: Apple Watch Series 6 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Fås til: Apple Watch Series 6 og nyere
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Problemet er løst via forbedret statusadministration.
WebKit Bugzilla: 286580
CVE-2025-30425: en anonym programmør
Yderligere anerkendelser
Accounts
Vi vil gerne takke Bohdan Stasiuk (@bohdan_stasiuk) for hjælpen.
Apple Account
Vi vil gerne takke Byron Fecho for hjælpen.
Find My
Vi vil gerne takke 神罚(@Pwnrin) for hjælpen.
Foundation
Vi vil gerne takke Jann Horn fra Google Project Zero for dennes assistance.
Handoff
Vi vil gerne takke Kirin og FlowerCode for hjælpen.
HearingCore
Vi vil gerne takke Kirin@Pwnrin og LFY@secsys fra Fudan University for hjælpen.
ImageIO
Vi vil gerne takke D4m0n for hjælpen.
Vi vil gerne takke Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau fra The Chinese University of Hong Kong, K宝 og LFY@secsys fra Fudan University for hjælpen.
Messages
Vi vil gerne takke parkminchan fra Korea Univ. for hjælpen.
Photos
Vi vil gerne takke Bistrit Dahal for hjælpen.
Sandbox Profiles
Vi vil gerne takke Benjamin Hornbeck for hjælpen.
SceneKit
Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.
Screen Time
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.
Security
Vi vil gerne takke Kevin Jones (GitHub) for hjælpen.
Settings
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram, Indien, for hjælpen.
Shortcuts
Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup og en anonym programmør for hjælpen.
Siri
Vi vil gerne takke Lyutoon for hjælpen.
Translations
Vi vil gerne takke K宝(@Pwnrin) for hjælpen.
WebKit
Vi vil gerne takke Gary Kwong, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu fra HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) fra VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL., Xiangwei Zhang fra Tencent Security YUNDING LAB, 냥냥 og en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.