Informazioni sui contenuti di sicurezza di watchOS 11.4

In questo documento vengono descritti i contenuti di sicurezza di watchOS 11.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

watchOS 11.4

AirDrop

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe leggere metadati di file arbitrari.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-24097: Ron Masas di BREAKPOINT.SH

AirPlay

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe ignorare ASLR.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43205: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Audio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24244: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Audio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Authentication Services

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un sito web dannoso potrebbe richiedere le credenziali WebAuthn a un altro sito web che condivide un suffisso registrabile.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2025-24180: Martin Kreichgauer di Google Chrome

BiometricKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24163: Threat Analysis Group di Google

CoreAudio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'app.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24230: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreGraphics

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31196: wac in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia Playback

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) di Microsoft e un ricercatore anonimo

CoreText

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24182: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreUtils

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-9681

Focus

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-30439: Andr.Ess

Focus

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto ripulendo i log

CVE-2025-30447: LFY@secsys dell'Università Fudan

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'analisi di un'immagine potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2025-24210: anonimo in collaborazione con Zero Day Initiative di Trend Micro

IOGPUFamily

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24257: Wang Yu di Cyberserval

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa potrebbe tentare di accedere ai codici su un dispositivo bloccato e causare l'escalation di ritardi temporali dopo 4 tentativi non andati a buon fine.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-48958

libnetcore

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24194: un ricercatore anonimo

libxml2

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24178: un ricercatore anonimo

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe eliminare file per i quali non dispone di autorizzazione

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2025-31182: Alex Radocea e Dave G. di Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24238: un ricercatore anonimo

Maps

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2025-30470: LFY@secsys dell'Università Fudan

NetworkExtension

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-30426: Jimmy

Power Services

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-24113: @RenwaX23

Safari

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-30467: @RenwaX23

Safari

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'origine di un download può essere associata in modo errato.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai di Alibaba Group, Luyi Xing dell'Indiana University Bloomington

Share Sheet

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa potrebbe ignorare la notifica del sistema sulla schermata di blocco in cui è stata avviata una registrazione.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un comando rapido potrebbe accedere a file che sono normalmente inaccessibili per l'app Comandi rapidi.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di privacy è stato risolto non registrando i contenuti nei campi di testo.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: contenuti web pericolosi possono uscire dalla sandbox dei contenuti web. Questa è una soluzione supplementare per un attacco che è stato bloccato in iOS 17.2. (Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 17.2.)

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso controlli migliori per evitare azioni non autorizzate.

CVE-2025-24201: Apple

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24264: Gary Kwong e un ricercatore anonimo

CVE-2025-24216: Paul Bakker di ParagonERP

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24209: Francisco Alonso (@revskills) e un ricercatore anonimo

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un sito web dannoso può essere in grado di monitorare gli utenti nella modalità di navigazione privata di Safari.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30425: un ricercatore anonimo

Altri riconoscimenti

Accounts

Ringraziamo Bohdan Stasiuk (@bohdan_stasiuk) per l'assistenza.

Apple Account

Ringraziamo Byron Fecho per l'assistenza.

Find My

Ringraziamo 神罚(@Pwnrin) per l'assistenza.

Foundation

Vorremmo ringraziare Jann Horn di Google Project Zero per l'assistenza.

Handoff

Ringraziamo Kirin e FlowerCode per l'assistenza.

HearingCore

Ringraziamo Kirin@Pwnrin e LFY@secsys dell'Università Fudan per l'assistenza.

ImageIO

Ringraziamo D4m0n per l'assistenza.

Mail

Ringraziamo Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau della Chinese University of Hong Kong, K宝 e LFY@secsys dell'Università Fudan per l'assistenza.

Messages

Ringraziamo parkminchan della Korea Univ. per l'assistenza.

Photos

Ringraziamo Bistrit Dahal per l'assistenza.

Sandbox Profiles

Ringraziamo Benjamin Hornbeck per l'assistenza.

SceneKit

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

Screen Time

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Security

Ringraziamo Kevin Jones (GitHub) per l'assistenza.

Settings

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal di C-DAC Thiruvananthapuram India per l'assistenza.

Shortcuts

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup e un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo Lyutoon per l'assistenza.

Translations

Ringraziamo K宝(@Pwnrin) per l'assistenza.

WebKit

Ringraziamo Gary Kwong, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu di HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) di VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang di HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) di VXRL., Xiangwei Zhang di Tencent Security YUNDING LAB, 냥냥 e un ricercatore anonimo per l'assistenza.