Tietoja watchOS 11.4:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 11.4:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
watchOS 11.4
Julkaistu 1.4.2025
AirDrop
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisten tiedostojen metatietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2025-24097: Ron Masas (BREAKPOINT.SH)
AirPlay
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä paikallisessa verkossa saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-24251: Uri Katz (Oligo Security)
Kohta lisätty 28.4.2025
Audio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan ASLR:n.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Kohta lisätty 29.7.2025
Audio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Audio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Authentication Services
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-30430: Dominik Rath
Authentication Services
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen verkkosivusto saattoi pystyä hakemaan WebAuthn-kirjautumistiedot toiselta verkkosivustolta, jolla on sama rekisteröitävä jälkiliite.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
BiometricKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Kohta päivitetty 28.5.2025
Calendar
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2025-31196: wac yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 28.5.2025
CoreMedia
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia Playback
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2025-30454: pattern-f (@pattern_F_)
CoreServices
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) ja nimetön tutkija
CoreText
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreUtils
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2025-31203: Uri Katz (Oligo Security)
Kohta lisätty 28.4.2025
curl
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: syötteen vahvistusongelma on korjattu.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-9681
Focus
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-30439: Andr.Ess
Focus
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen.
CVE-2025-30447: LFY@secsys (Fudan-yliopisto)
ImageIO
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: kuvan jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.
CVE-2025-24210: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOGPUFamily
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2025-24257: Wang Yu (Cyberserval)
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä kokeilemaan pääsykoodisyöttöjä lukitussa laitteessa ja näin aiheuttamaan yltyviä aikaviiveitä neljän epäonnistumisen jälkeen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2025-30432: Michael (Biscuit) Thomas (@biscuit@social.lol)
libarchive
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: syötteen vahvistusongelma on korjattu.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-48958
libnetcore
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-24194: nimetön tutkija
libxml2
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24178: nimetön tutkija
libxpc
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2025-31182: Alex Radocea ja Dave G. (Supernetworks), 风沐云烟(@binary_fmyy) ja Minghao Lin(@Y1nKoc)
libxpc
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2025-24238: nimetön tutkija
Maps
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.
CVE-2025-30470: LFY@secsys (Fudan-yliopisto)
NetworkExtension
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2025-30426: Jimmy
Power Services
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2025-24173: Mickey Jin (@patch1t)
Safari
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: ongelma ratkaistiin parantamalla käyttöliittymää.
CVE-2025-24113: @RenwaX23
Safari
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2025-30467: @RenwaX23
Safari
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: latauksen alkuperä saatettiin liittää virheellisesti.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2025-24167: Syarif Muhammad Sajjad
Security
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indianan yliopisto, Bloomington)
Share Sheet
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä ohittamaan järjestelmän ilmoituksen nauhoituksen aloittamisesta lukitulla näytöllä.
Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2025-30438: Halle Winkler (Politepix, theoffcuts.org)
Shortcuts
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: pikakomento saattoi pystyä käyttämään tiedostoja, jotka eivät ole yleensä Pikakomennot-apin käytettävissä.
Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2025-30433: Andrew James Gonzalez
Siri
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Siri
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2025-24217: Kirin (@Pwnrin)
Siri
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu jättämällä tekstikenttien sisältö kirjaamatta.
CVE-2025-24214: Kirin (@Pwnrin)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen verkkosisältö saattoi pystyä poistumaan verkkosisällön eristyksestä. Tämä on lisäkorjaus hyökkäykselle, joka estettiin iOS 17.2:ssa. (Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 17.2 -versiota edeltävissä iOS-versioissa.)
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
WebKit Bugzilla: 285858
CVE-2025-24201: Apple
Kohta lisätty 9.4.2025
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong ja nimetön tutkija
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) ja nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 286580
CVE-2025-30425: nimetön tutkija
Kiitokset
Accounts
Haluamme kiittää avusta Bohdan Stasiukia (@bohdan_stasiuk).
Apple Account
Haluamme kiittää avusta Byron Fechoa.
Find My
Haluamme kiittää avusta henkilöä 神罚(@Pwnrin).
Foundation
Haluamme kiittää Google Project Zeron Jann Hornia hänen avustaan.
Handoff
Haluamme kiittää avusta Kiriniä ja FlowerCodea.
HearingCore
Haluamme kiittää avusta Kiriniä (@Pwnrin) ja nimimerkkiä LFY@secsys (Fudan-yliopisto).
ImageIO
Haluamme kiittää avusta D4m0nia.
Haluamme kiittää avusta Doria Tangia, Ka Lok Wuta, Prof. Sze Yiu Chauta (Hongkongin kiinalainen yliopisto), henkilöitä K宝 ja LFY@secsys (Fudan-yliopisto).
Messages
Haluamme kiittää avusta parkminchania (Korean yliopisto).
Photos
Haluamme kiittää avusta Bistrit Dahalia.
Sandbox Profiles
Haluamme kiittää avusta Benjamin Hornbeckia.
SceneKit
Haluamme kiittää nat. Marc Schoenefeldia
Screen Time
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
Security
Haluamme kiittää avusta Kevin Jonesia (GitHub).
Settings
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia).
Shortcuts
Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup sekä nimetöntä tutkijaa.
Siri
Haluamme kiittää avusta Lyutoonia.
Translations
Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.
WebKit
Haluamme kiittää avusta Gary Kwongia, nimimerkkejä P1umer (@p1umer) ja Q1IQ (@q1iqF), Wai Kin Wongia, Dongwei Xiaoa, Shuai Wangia ja Daoyuan Wuta (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL), Wong Wai Kiniä, Dongwei Xiaota ja Shuai Wangia (HKUST Cybersecurity Lab), Anthony Laita (@darkfloyd1014, VXRL.), Xiangwei Zhangia (Tencent Security YUNDING LAB), henkilöä 냥냥 ja nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.