Om sikkerhetsinnholdet i watchOS 11.4

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

watchOS 11.4

AirDrop

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan utilsiktet lese filmetadata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-24097: Ron Masas hos BREAKPOINT.SH

AirPlay

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper på det lokale nettverket kan forårsake uventet avslutning av en app.

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan være i stand til å omgå ASLR

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43205: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24244: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

Audio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24243: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

Authentication Services

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Automatisk utfylling av passord kan fylle ut passord etter mislykket godkjenning

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-30430: Dominik Rath

Authentication Services

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan kreve WebAuthn-legitimasjon fra et annet nettsted som deler et registrerbart suffiks

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-24180: Martin Kreichgauer hos Google Chrome

BiometricKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av en app

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2025-24230: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-31196: wac i samarbeid med Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24190: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

CoreMedia Playback

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) hos Microsoft og en anonym forsker

CoreText

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2025-24182: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

CoreUtils

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et problem med validering av inndata ble løst

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-9681

Focus

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-30439: Andr.Ess

Focus

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst ved å rense loggføring

CVE-2025-30447: LFY@secsys ved Fudan University

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et bilde kan føre til at brukerinformasjon avsløres

Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.

CVE-2025-24210: en anonym forsker i samarbeid med Trend Micro Zero Day Initiative

IOGPUFamily

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2025-24257: Wang Yu hos Cyberserval

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan forsøke å skrive inn passord på en låst enhet og dermed forårsake eskalerende forsinkelser etter 4 feil

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et problem med validering av inndata ble løst

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-48958

libnetcore

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-24194: en anonym forsker

libxml2

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-24178: en anonym forsker

libxpc

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan være i stand til å slette filer som det ikke har tillatelse til

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2025-31182: Alex Radocea og Dave G. hos Supernetworks, 风沐云烟(@binary_fmyy) og Minghao Lin(@Y1nKoc)

libxpc

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få opphøyde rettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-24238: en anonym forsker

Maps

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.

CVE-2025-30470: LFY@secsys ved Fudan University

NetworkExtension

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-30426: Jimmy

Power Services

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Problemet ble løst med et forbedret brukergrensesnitt.

CVE-2025-24113: @RenwaX23

Safari

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-30467: @RenwaX23

Safari

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Opphavet til en nedlasting kan være feilassosiert

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En ekstern bruker kan forårsake tjenestenekt

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai ved Alibaba Group, Luyi Xing ved Indiana University Bloomington

Share Sheet

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan avvise systemvarslingen på Låst skjerm om at et opptak ble startet

Beskrivelse: Problemet ble løst gjennom forbedrede tilgangsrestriksjoner.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En snarvei kan få tilgang til filer som vanligvis er utilgjengelige for Snarveier-appen

Beskrivelse: Problemet ble løst gjennom forbedrede tilgangsrestriksjoner.

CVE-2025-30433: Andrew James Gonzalez

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst med forbedret begrensning av tilgang til databeholder.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et personvernproblem ble løst ved ikke å loggføre innhold i tekstfelt.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Skadelig nettinnhold kan bryte ut av nettinnholdssandkassen. Dette er en supplerende løsning for et angrep som ble blokkert i iOS 17.2. (Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 17.2.)

Beskrivelse: Et problem med skriving utenfor grensene ble løst gjennom forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2025-24201: Apple

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24264: Gary Kwong og en anonym forsker

CVE-2025-24216: Paul Bakker hos ParagonERP

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2025-24209: Francisco Alonso (@revskills) og en anonym forsker

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan spore brukere i privat Safari-nettlesermodus

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-30425: en anonym forsker

Ytterligere anerkjennelser

Accounts

Vi vil gjerne takke Bohdan Stasiuk (@bohdan_stasiuk) for hjelpen.

Apple Account

Vi vil gjerne takke Byron Fecho for hjelpen.

Find My

Vi vil gjerne takke 神罚(@Pwnrin) for hjelpen.

Foundation

Vi vil gjerne takke Jann Horn hos Google Project Zero for hjelpen.

Handoff

Vi vil gjerne takke Kirin og FlowerCode for hjelpen.

HearingCore

Vi vil gjerne takke Kirin@Pwnrin og LFY@secsys ved Fudan University for hjelpen.

ImageIO

Vi vil gjerne takke D4m0n for hjelpen.

Mail

Vi vil gjerne takke Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau ved The Chinese University of Hong Kong, K宝 og LFY@secsys ved Fudan University for hjelpen.

Messages

Vi vil gjerne takke parkminchan ved Korea Univ. for hjelpen.

Photos

Vi vil gjerne takke Bistrit Dahal for hjelpen.

Sandbox Profiles

Vi vil gjerne takke Benjamin Hornbeck for hjelpen.

SceneKit

Vi vil gjerne takke Marc Schoenefeld, Dr. rer. nat. for hjelpen.

Screen Time

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) ved Lakshmi Narain College of Technology Bhopal i India for hjelpen.

Security

Vi vil gjerne takke Kevin Jones (GitHub) for hjelpen.

Settings

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos C-DAC Thiruvananthapuram India for hjelpen.

Shortcuts

Vi vil gjerne takke Chi Yuan Chang hos ZUSO ART og taikosoup og en anonym forsker for hjelpen.

Siri

Vi vil gjerne takke Lyutoon for hjelpen.

Translations

Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.

WebKit

Vi vil gjerne takke Gary Kwong, P1umer (@p1umer) og Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu hos HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) hos VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang hos HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) hos VXRL., Xiangwei Zhang hos Tencent Security YUNDING LAB, 냥냥 og en anonym forsker for hjelpen.