Zawartość związana z zabezpieczeniami w systemie watchOS 11.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 11.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 11.4

Wydano 1 kwietnia 2025 r.

AirDrop

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie odczytać dowolne metadane pliku.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24097: Ron Masas z BREAKPOINT.SH

AirPlay

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24251: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

Audio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie pominąć ASLR.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43205: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 29 lipca 2025 r.

Audio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24244: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Audio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24243: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Authentication Services

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-30430: Dominik Rath

Authentication Services

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa witryna internetowa może być w stanie uzyskać poświadczenia WebAuthn z innej witryny, która współdzieli zarejestrowaną końcówkę domeny.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24180: Martin Kreichgauer z Google Chrome

BiometricKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Wpis uaktualniono 28 maja 2025 r.

Calendar

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: odtworzenie złośliwego pliku audio może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24230: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31196: wac pracujący w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 28 maja 2025 r.

CoreMedia

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24190: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia Playback

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) z Microsoft, anonimowy badacz

CoreText

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24182: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreUtils

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31203: Uri Katz (Oligo Security)

Wpis dodano 28 kwietnia 2025 r.

curl

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-9681

Focus

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30439: Andr.Ess

Focus

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem został rozwiązany przez oczyszczenie logowania.

CVE-2025-30447: LFY@secsys z Fudan University

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analiza składni obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2025-24210: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

IOGPUFamily

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24257: Wang Yu z Cyberserval

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może próbować wprowadzić kod na zablokowanym urządzeniu, co może powodować wydłużające się opóźnienia po 4 nieudanych próbach.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-48958

libnetcore

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24194: anonimowy badacz

libxml2

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24178: anonimowy badacz

libxpc

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie usunąć pliki, do których nie ma uprawnień.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2025-31182: Alex Radocea i Dave G. z Supernetworks, 风沐云烟(@binary_fmyy) i Minghao Lin(@Y1nKoc)

libxpc

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-24238: anonimowy badacz

Maps

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.

CVE-2025-30470: LFY@secsys z Fudan University

NetworkExtension

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30426: Jimmy

Power Services

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.

CVE-2025-24113: @RenwaX23

Safari

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-30467: @RenwaX23

Safari

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: źródło pobierania może być niepoprawnie powiązane.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai z Alibaba Group, Luyi Xing z Indiana University Bloomington

Share Sheet

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może być w stanie odrzucić powiadomienie systemowe na ekranie blokady informujące o rozpoczęciu nagrywania.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: skrót może umożliwiać dostęp do plików, które normalnie są niedostępne dla aplikacji Skróty.

Opis: ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2025-30433: Andrew James Gonzalez

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez nierejestrowanie zawartości pól tekstowych.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwie spreparowana treść internetowa może być w stanie wydostać się z piaskownicy zawartości internetowej. Jest to dodatkowa poprawka dotycząca ataku, który został zablokowany w systemie iOS 17.2. (Apple ma świadomość, że problem mógł być wykorzystywany w bardzo zaawansowanych atakach na określone osoby fizyczne z systemem iOS starszym niż iOS 17.2).

Opis: naprawiono błąd zapisu poza dozwolonym zakresem przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.

WebKit Bugzilla: 285858

CVE-2025-24201: Apple

Wpis dodano 9 kwietnia 2025 r.

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong i anonimowy badacz

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker z ParagonERP

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) i anonimowy badacz

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

WebKit Bugzilla: 286580

CVE-2025-30425: anonimowy badacz

Dodatkowe podziękowania

Accounts

Dziękujemy za udzieloną pomoc: Bohdan Stasiuk (@bohdan_stasiuk).

Apple Account

Dziękujemy za udzieloną pomoc: Byron Fecho.

Find My

Dziękujemy za udzieloną pomoc: 神罚(@Pwnrin).

Foundation

Dziękujemy za udzieloną pomoc: Jann Horn z Google Project Zero.

Handoff

Dziękujemy za udzieloną pomoc: Kirin i FlowerCode.

HearingCore

Dziękujemy za udzieloną pomoc: Kirin@Pwnrin i LFY@secsys z Fudan University.

ImageIO

Dziękujemy za udzieloną pomoc: D4m0n.

Mail

Dziękujemy za udzieloną pomoc: Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau z The Chinese University of Hong Kong, K宝 oraz LFY@secsys z Fudan University.

Messages

Dziękujemy za udzieloną pomoc: parkminchan z Korea Univ.

Photos

Dziękujemy za udzieloną pomoc: Bistrit Dahal.

Sandbox Profiles

Dziękujemy za udzieloną pomoc: Benjamin Hornbeck.

SceneKit

Dziękujemy za udzieloną pomoc: Marc Schoenefeld, Dr. rer. nat.

Screen Time

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

Security

Dziękujemy za udzieloną pomoc: Kevin Jones (GitHub).

Settings

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India.

Shortcuts

Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup oraz anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Lyutoon.

Translations

Dziękujemy za udzieloną pomoc: K宝(@Pwnrin).

WebKit

Dziękujemy za udzieloną pomoc: Gary Kwong, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu z HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) z VXRL, Wong Wai Kin, Dongwei Xiao oraz Shuai Wang z HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) of VXRL., Xiangwei Zhang z Tencent Security YUNDING LAB, 냥냥 oraz anonimowy badacz.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: