A watchOS 11.4 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 11.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 11.4

AirDrop

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlmetaadatokat beolvasni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH)

AirPlay

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az automatikus jelszókitöltő funkció időnként kitöltötte a jelszót, miután sikertelen volt a hitelesítés

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30430: Dominik Rath

Authentication Services

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-31196: wac a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) és egy anonim kutató

CoreText

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9681

Focus

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30439: Andr.Ess

Focus

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplózás megtisztításával orvosoltuk a problémát

CVE-2025-30447: LFY@secsys (Fudan University)

ImageIO

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

IOGPUFamily

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24257: Wang Yu (Cyberserval)

Kernel

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-48958

libnetcore

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24194: anonim kutató

libxml2

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-27113

CVE-2024-56171

libxpc

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24178: anonim kutató

libxpc

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31182: Alex Radocea és Dave G. (Supernetworks), 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

libxpc

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24238: anonim kutató

Maps

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30470: LFY@secsys (Fudan University)

NetworkExtension

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30426: Jimmy

Power Services

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

Safari

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30467: @RenwaX23

Safari

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy egy letöltés eredetének hozzárendelése helytelenül ment végbe.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30433: Andrew James Gonzalez

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi problémát úgy küszöböltük ki, hogy a továbbiakban nem naplózzuk a szöveges mezők tartalmát.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A rosszindulatú célból létrehozott webes tartalmak bizonyos esetekben ki tudtak törni a Webes tartalom elkülönített környezetből. Ez egy olyan támadási lehetőséghez készült kiegészítő javítás, amelyet az iOS 17.2 verzióban már megszüntettünk. (Az Apple tud egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 17.2 előtti iOS-verziókban.)

Leírás: Elhárítottuk egy határértéken kívüli írással kapcsolatos problémát azzal, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2025-24201: Apple

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24264: Gary Kwong és egy anonim kutató

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-24209: Francisco Alonso (@revskills) és egy anonim kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30425: anonim kutató

További köszönetnyilvánítás

Accounts

Köszönjük Bohdan Stasiuk (@bohdan_stasiuk) segítségét.

Apple Account

Köszönjük Byron Fecho segítségét.

Find My

Köszönjük 神罚 (@Pwnrin) segítségét.

Foundation

Köszönjük Jann Horn (Google Project Zero) segítségét.

Handoff

Köszönjük Kirin és FlowerCode segítségét.

HearingCore

Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University) segítségét.

ImageIO

Köszönjük D4m0n segítségét.

Mail

Köszönjük Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (The Chinese University of Hong Kong), K宝 és LFY@secsys (Fudan University) segítségét.

Messages

Köszönjük parkminchan (Korea Univ.) segítségét.

Photos

Köszönjük Bistrit Dahal segítségét.

Sandbox Profiles

Köszönjük Benjamin Hornbeck segítségét.

SceneKit

Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét.

Screen Time

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopal, India) segítségét.

Security

Köszönjük Kevin Jones (GitHub) segítségét.

Settings

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Shortcuts

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és egy anonim kutató segítségét.

Siri

Köszönjük Lyutoon segítségét.

Translations

Köszönjük K宝 (@Pwnrin) segítségét.

WebKit

Köszönjük Gary Kwong, P1umer (@p1umer) és Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014, VXRL), Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014, VXRL), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥 és egy anonim kutató segítségét.