Informacije o sigurnosnom sadržaju sustava watchOS 11.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 11.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 11.4

AirDrop

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla čitati proizvoljne metapodatke datoteka

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla zaobići ASLR

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43205: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24244: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24243: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Authentication Services

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-30430: Dominik Rath

Authentication Services

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neko zlonamjerno web-mjesto moglo je zatražiti podatke za provjeru autentičnosti WebAuthn s nekog drugog web-mjesta s istim nastavkom koji se može registrirati

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreAudio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24230: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31196: wac i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24190: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia Playback

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) (Microsoft) i anonimni istraživač

CoreText

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24182: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreUtils

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-9681

Focus

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-30439: Andr.Ess

Focus

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen čišćenjem zapisnika

CVE-2025-30447: LFY@secsys (Sveučilište Fudan)

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: parsiranjem slike može doći do otkrivanja korisničkih podataka

Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.

CVE-2025-24210: anonimni istraživač i inicijativa Zero Day (Trend Micro)

IOGPUFamily

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24257: Wang Yu (Cyberserval)

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna bi aplikacija mogla pokušati unositi šifru ili zaključati uređaj i tako uzrokovati vremenske odgode nakon 4 neuspjela pokušaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-48958

libnetcore

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-24194: anonimni istraživač

libxml2

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24178: anonimni istraživač

libxpc

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2025-31182: Alex Radocea i Dave G. (Supernetworks, 风沐云烟(@binary_fmyy)) i Minghao Lin(@Y1nKoc)

libxpc

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-24238: anonimni istraživač

Maps

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2025-30470: LFY@secsys (Sveučilište Fudan)

NetworkExtension

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-30426: Jimmy

Power Services

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-24113: @RenwaX23

Safari

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-30467: @RenwaX23

Safari

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: podrijetlo preuzimanja može biti neispravno zaključeno

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija mogla bi odbaciti obavijesti sustava na zaključanom zaslonu na kojem je pokrenuto snimanje

Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: prečac bi mogao pristupati datotekama koje obično nisu dostupne aplikaciji Prečaci

Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.

CVE-2025-30433: Andrew James Gonzalez

Siri

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnošću riješen je nezapisivanjem sadržaja tekstualnih polja.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerni web-sadržaj mogao bi izaći iz Web Content memorije za testiranje. Ovo je dodatno rješenje za napad koji je blokiran u sustavu iOS 17.2. (Apple je upoznat s izvješćem da se ovaj problem može iskoristiti u iznimno sofisticiranom napadu na određene ciljane pojedince u verzijama sustava iOS starijima od sustava iOS 17.2.)

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2025-24201: Apple

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24264: Gary Kwong i anonimni istraživač

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24209: Francisco Alonso (@revskills) i anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna internetska stranca može pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-30425: anonimni istraživač

Dodatna zahvala

Accounts

Zahvaljujemo Bohdanu Stasiuku (@bohdan_stasiuk) i ) na pomoći.

Apple Account

Na pomoći zahvaljujemo Byronu Fechou.

Find My

Na pomoći zahvaljujemo korisniku 神罚(@Pwnrin).

Foundation

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Handoff

Na pomoći zahvaljujemo korisniku Kirin i FlowerCode.

HearingCore

Na pomoći zahvaljujemo korisnicima Kirin@Pwnrin i LFY@secsys sa Sveučilišta Fudan.

ImageIO

Na pomoći zahvaljujemo korisniku D4m0n.

Mail

Na pomoći zahvaljujemo korisnicima: Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (s Kineskog Sveučilišta u Hong Kongu), K宝 i LFY@secsys sa Sveučilišta Fudan.

Messages

Na pomoći zahvaljujemo korisniku parkminchan s Korejskog Sveučilišta. na pomoći.

Photos

Na pomoći zahvaljujemo Bistritu Dahalu.

Sandbox Profiles

Na pomoći zahvaljujemo Benjaminu Hornbecku.

SceneKit

Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.

Screen Time

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

Security

Na pomoći zahvaljujemo Kevinu Jonesu (GitHub).

Settings

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (C-DAC, Thiruvananthapuram, Indija).

Shortcuts

Na pomoći zahvaljujemo Chi Yuan Changu (ZUSO ART), korisniku taikosoup i anonimnom istraživaču.

Siri

Na pomoći zahvaljujemo korisniku Lyutoon.

Translations

Na pomoći zahvaljujemo korisniku K宝 (@Pwnrin).

WebKit

Na pomoći zahvaljujemo korisnicima: Gary Kwong, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014) (VXRL), Wong Wai Kin, Dongwei Xiao i Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014) (VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥, i anonimnom istraživaču.