מידע על תוכן האבטחה של watchOS 11.4

מסמך זה מתאר את תוכן האבטחה של watchOS 11.4.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

watchOS 11.4

AirDrop

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לקרוא מטה-נתונים של קבצים שרירותיים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-24097: ‏Ron Masas מ-BREAKPOINT.SH

AirPlay

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24251: ‏Uri Katz‏ (Oligo Security)

Audio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לעקוף את ASLR

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43205: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Audio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24244: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Audio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24243: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Authentication Services

זמין עבור: Apple Watch Series 6 ואילך

השפעה: מילוי אוטומטי של סיסמאות עלול למלא סיסמאות לאחר כישלון באימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30430: ‏Dominik Rath

Authentication Services

זמין עבור: Apple Watch Series 6 ואילך

השפעה: אתר אינטרנט זדוני עלול להצליח לדרוש אישורי WebAuthn מאתר אינטרנט אחר שמשתף סיומת ניתנת לרישום

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2025-24180: ‏Martin Kreichgauer מ-Google Chrome

BiometricKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2025-24237‏: Yutong Xiu ‏(‎@Sou1gh0st)

Calendar

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-30429: ‏Denis Tokarev‏ (‎@illusionofcha0s)

Calendar

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2025-24212: ‏Denis Tokarev‏ (‎@illusionofcha0s)

CoreAudio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24163: ‏Google Threat Analysis Group

CoreAudio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: הפעלת קובץ שמע זדוני עלולה להוביל לסיום בלתי צפוי של יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-24230: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreGraphics

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-31196: ‏wac ביחד עם Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24190: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia Playback

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-30454: ‏pattern-f‏ (‎@pattern_F_‎)

CoreServices

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-31191: ‏Jonathan Bar Or‏ (‎@yo_yo_yo_jbo) מ-Microsoft וחוקר אנונימי

CoreText

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-24182: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreUtils

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2025-31203: ‏Uri Katz‏ (Oligo Security)

curl

זמין עבור: Apple Watch Series 6 ואילך

השפעה: טופלה בעיה באימות קלט

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-9681

Focus

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-30439: ‏Andr.Ess

Focus

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-24283: ‏Kirin‏ (‎@Pwnrin)

Foundation

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה על ידי טיהור הרישום

CVE-2025-30447: ‏LFY@secsys מאוניברסיטת פודן

ImageIO

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ניתוח תמונה עלול להוביל לחשיפת מידע של משתמש

תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.

CVE-2025-24210: אנונימי בעבודה עם Trend Micro Zero Day Initiative

IOGPUFamily

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-24257: ‏Wang Yu מ-Cyberserval

Kernel

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להצליח לנסות להזין קודי גישה במכשיר נעול ולגרום בכך לעיכובי זמן הולכים וגדלים לאחר ארבעה ניסיונות כושלים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30432: ‏Michael (Biscuit) Thomas - ‏‎@biscuit@social.lol

libarchive

זמין עבור: Apple Watch Series 6 ואילך

השפעה: טופלה בעיה באימות קלט

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-48958

libnetcore

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-24194: חוקר אנונימי

libxml2

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24178: חוקר אנונימי

libxpc

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2025-31182: ‏Alex Radocea ו-Dave G.‎ מ-Supernetworks‏, 风沐云烟‏(‎@binary_fmyy) ו-Minghao Lin‏(‎@Y1nKoc)

libxpc

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-24238: חוקר אנונימי

Maps

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2025-30470: ‏LFY@secsys מאוניברסיטת פודן

NetworkExtension

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-30426: ‏Jimmy

Power Services

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-24173: ‏Mickey Jin‏ (‎@patch1t)

Safari

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: הבעיה טופלה באמצעות ממשק משתמש משופר.

CVE-2025-24113: ‏‎@RenwaX23

Safari

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-30467: ‏‎@RenwaX23

Safari

זמין עבור: Apple Watch Series 6 ואילך

השפעה: מקור הורדה עשוי להיות משויך באופן שגוי

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24167: ‏Syarif Muhammad Sajjad

Security

זמין עבור: Apple Watch Series 6 ואילך

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2025-30471: ‏Bing Shi, ‏Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ‏Luyi Xing מ-Indiana University Bloomington

Share Sheet

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להצליח לדחות את עדכון המערכת במסך הנעילה לגבי התחלת הקלטה

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2025-30438‏: Halle Winkler‏, Politepix ‏theoffcuts.org

Shortcuts

זמין עבור: Apple Watch Series 6 ואילך

השפעה: קיצור עלול להצליח לגשת לקבצים שאינם ניתנים לגישה בדרך כלל ליישום 'קיצורים'

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2025-30433: ‏Andrew James Gonzalez

Siri

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.

CVE-2025-31183: ‏Kirin‏ (‎@Pwnrin), ‏Bohdan Stasiuk‏ (‎@bohdan_stasiuk)

Siri

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2025-24217: ‏Kirin‏ (‎@Pwnrin)

Siri

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות ביטול הרישום ביומן של תוכן שדות טקסט.

CVE-2025-24214: ‏Kirin‏ (‎@Pwnrin)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוכן אינטרנט בעל מבנה זדוני עשוי להצליח לצאת מתוך ארגז חול של תוכן אינטרנט. זהו תיקון משלים להתקפה שנחסמה ב-iOS 17.2. (Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד שכוונה נגד אנשים ספציפיים בגרסאות iOS שקודמות ל-iOS 17.2.)

תיאור: בעיית כתיבה מחוץ לתחום טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2025-24201‏: Apple

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24264: ‏Gary Kwong וחוקר אנונימי

CVE-2025-24216: ‏Paul Bakker מ-ParagonERP

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24209: ‏Francisco Alonso‏ (‎@revskills) וחוקר אנונימי

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-30427: ‏rheza‏ (‎@ginggilBesel)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים ב-Safari במצב גלישה פרטית

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30425: חוקר אנונימי

הכרה נוספת

Accounts

אנחנו מבקשים להודות ל-Bohdan Stasiuk‏ (‎@bohdan_stasiuk) על הסיוע.

Apple Account

אנחנו מבקשים להודות ל-Byron Fecho על הסיוע.

Find My

אנחנו מבקשים להודות ל-神罚‏ (‎@Pwnrin) על הסיוע.

Foundation

אנחנו מבקשים להודות ל-Jann Horn מ-Google Project Zero על הסיוע.

Handoff

אנחנו מבקשים להודות ל-Kirin ול-FlowerCode על הסיוע.

HearingCore

אנחנו מבקשים להודות ל- Kirin@Pwnrin ול-LFY@secsys מאוניברסיטת פודן על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-D4m0n על הסיוע.

Mail

אנחנו מבקשים להודות ל-Doria Tang, ל-Ka Lok Wu ול-Prof. Sze Yiu Chau מהאוניברסיטה הסינית בהונג קונג ול-K宝 ול-LFY@secsys מאוניברסיטת פודן על הסיוע.

Messages

אנחנו מבקשים להודות ל-parkminchan מאוניברסיטת קוריאה על הסיוע.

Photos

אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.

Sandbox Profiles

אנחנו מבקשים להודות ל-Benjamin Hornbeck על הסיוע.

SceneKit

אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer.‎ nat.‎ על הסיוע.

Screen Time

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.

Security

אנחנו מבקשים להודות ל-Kevin Jones‏ (GitHub) על הסיוע.

Settings

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-C-DAC Thiruvananthapuram India על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART, ל-taikosoup ולחוקר אנונימי על הסיוע.

Siri

אנחנו מבקשים להודות ל-Lyutoon על הסיוע.

Translations

אנחנו מבקשים להודות ל-K宝‏ (‎@Pwnrin) על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Gary Kwong, ל-P1umer‏ (‎@p1umer) ול-Q1IQ‏ (‎@q1iqF), ל-Wai Kin Wong, ל-Dongwei Xiao, ל-Shuai Wang ול-Daoyuan Wu מ-HKUST Cybersecurity Lab, ל-Anthony Lai‏ (‎@darkfloyd1014) מ-VXRL, ל-Wong Wai Kin, ל-Dongwei Xiao ול-Shuai Wang מ-HKUST Cybersecurity Lab, ל-Anthony Lai‏ (‎@darkfloyd1014) מ-VXRL.‎, ל-Xiangwei Zhang מ-Tencent Security YUNDING LAB, ל-냥냥 ולחוקר אנונימי על הסיוע.