Tietoja watchOS 11.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 11.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

watchOS 11.4

AirDrop

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisten tiedostojen metatietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30430: Dominik Rath

Authentication Services

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen verkkosivusto saattoi pystyä hakemaan WebAuthn-kirjautumistiedot toiselta verkkosivustolta, jolla on sama rekisteröitävä jälkiliite.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) ja nimetön tutkija

CoreText

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-9681

Focus

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30439: Andr.Ess

Focus

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.

CVE-2025-30447: LFY@secsys (Fudan-yliopisto)

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: kuvan jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2025-24210: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

IOGPUFamily

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-24257: Wang Yu (Cyberserval)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen appi saattoi pystyä kokeilemaan pääsykoodisyöttöjä lukitussa laitteessa ja näin aiheuttamaan yltyviä aikaviiveitä neljän epäonnistumisen jälkeen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)

libarchive

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-48958

libnetcore

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24194: nimetön tutkija

libxml2

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24178: nimetön tutkija

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2025-31182: Alex Radocea ja Dave G. (Supernetworks), 风沐云烟(@binary_fmyy) ja Minghao Lin(@Y1nKoc)

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-24238: nimetön tutkija

Maps

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2025-30470: LFY@secsys (Fudan-yliopisto)

NetworkExtension

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-30426: Jimmy

Power Services

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.

CVE-2025-24113: @RenwaX23

Safari

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-30467: @RenwaX23

Safari

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indianan yliopisto, Bloomington)

Share Sheet

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen appi saattoi pystyä ohittamaan järjestelmän ilmoituksen nauhoituksen aloittamisesta lukitulla näytöllä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30438: Halle Winkler (Politepix, theoffcuts.org)

Shortcuts

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.

Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2025-30433: Andrew James Gonzalez

Siri

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisältö kirjaamatta.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen verkkosisältö saattoi pystyä poistumaan verkkosisällön eristyksestä. Tämä on lisäkorjaus hyökkäykselle, joka estettiin iOS 17.2:ssa. (Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 17.2 -versiota edeltävissä iOS-versioissa.)

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2025-24201: Apple

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24264: Gary Kwong ja nimetön tutkija

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-30425: nimetön tutkija

Kiitokset

Accounts

Haluamme kiittää avusta Bohdan Stasiukia (@bohdan_stasiuk).

Apple Account

Haluamme kiittää avusta Byron Fechoa.

Find My

Haluamme kiittää avusta henkilöä 神罚(@Pwnrin).

Foundation

Haluamme kiittää Google Project Zeron Jann Hornia hänen avustaan.

Handoff

Haluamme kiittää avusta Kiriniä ja FlowerCodea.

HearingCore

Haluamme kiittää avusta Kiriniä (@Pwnrin) ja nimimerkkiä LFY@secsys (Fudan-yliopisto).

ImageIO

Haluamme kiittää avusta D4m0nia.

Mail

Haluamme kiittää avusta Doria Tangia, Ka Lok Wuta, Prof. Sze Yiu Chauta (Hongkongin kiinalainen yliopisto), henkilöitä K宝 ja LFY@secsys (Fudan-yliopisto).

Messages

Haluamme kiittää avusta parkminchania (Korean yliopisto).  

Photos

Haluamme kiittää avusta Bistrit Dahalia.

Sandbox Profiles

Haluamme kiittää avusta Benjamin Hornbeckia.

SceneKit

Haluamme kiittää nat. Marc Schoenefeldia  

Screen Time

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Security

Haluamme kiittää avusta Kevin Jonesia (GitHub).

Settings

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia).

Shortcuts

Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup sekä nimetöntä tutkijaa.

Siri

Haluamme kiittää avusta Lyutoonia.

Translations

Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.

WebKit

Haluamme kiittää avusta Gary Kwongia, nimimerkkejä P1umer (@p1umer) ja Q1IQ (@q1iqF), Wai Kin Wongia, Dongwei Xiaoa, Shuai Wangia ja Daoyuan Wuta (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Wong Wai Kiniä, Dongwei Xiaota ja Shuai Wangia (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL.), Xiangwei Zhangia (Tencent Security YUNDING LAB), henkilöä 냥냥 ja nimetöntä tutkijaa.