Sobre o conteúdo de segurança do watchOS 11.4
Este documento descreve o conteúdo de segurança do watchOS 11.4.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para mais informações sobre segurança, consulte a página Segurança do produto Apple.
watchOS 11.4
Lançado em 1º de abril de 2025
AirDrop
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode ler metadados de arquivo arbitrários
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-24097: Ron Masas de BREAKPOINT.SH
AirPlay
Disponível para: Apple Watch Series 6 e posterior
Impacto: um invasor em uma rede local pode causar o encerramento inesperado de um app
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24251: Uri Katz (Oligo Security)
Entrada adicionada em 28 de abril de 2025
Audio
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode ignorar ASLR
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-43205: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Entrada adicionada em 29 de julho de 2025
Audio
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24244: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Audio
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24243: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Authentication Services
Disponível para: Apple Watch Series 6 e posterior
Impacto: o preenchimento automático de senha pode preencher senhas após falha na autenticação
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-30430: Dominik Rath
Authentication Services
Disponível para: Apple Watch Series 6 e posterior
Impacto: um site mal-intencionado pode reivindicar credenciais WebAuthn de outro site que compartilha um sufixo registrável
Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.
CVE-2025-24180: Martin Kreichgauer do Google Chrome
BiometricKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Entrada atualizada em 28 de maio de 2025
Calendar
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir sair de sua área restrita
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
Disponível para: Apple Watch Series 6 e posterior
Impacto: a reprodução de um arquivo de áudio mal-intencionado pode levar ao encerramento inesperado do app
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-24230: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-31196: wac em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 28 de maio de 2025
CoreMedia
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24190: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreMedia Playback
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode ter acesso a informações privadas
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.
CVE-2025-30454: pattern-f (@pattern_F_)
CoreServices
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo), da Microsoft, e um pesquisador anônimo
CoreText
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-24182: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreUtils
Disponível para: Apple Watch Series 6 e posterior
Impacto: um invasor na rede local pode causar uma negação de serviço
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-31203: Uri Katz (Oligo Security)
Entrada adicionada em 28 de abril de 2025
curl
Disponível para: Apple Watch Series 6 e posterior
Impacto: um problema na validação de entradas foi resolvido
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-9681
Focus
Disponível para: Apple Watch Series 6 e posterior
Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-30439: Andr.Ess
Focus
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido pela sanitização do registro
CVE-2025-30447: LFY@secsys da Fudan University
ImageIO
Disponível para: Apple Watch Series 6 e posterior
Impacto: a análise de uma imagem pode levar à divulgação de informações do usuário
Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.
CVE-2025-24210: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
IOGPUFamily
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-24257: Wang Yu da Cyberserval
Kernel
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode tentar inserir a senha em um dispositivo bloqueado e, assim, causar atrasos de tempo escalonados após 4 falhas
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-30432: Michael (Biscuit) Thomas — @biscuit@social.lol
libarchive
Disponível para: Apple Watch Series 6 e posterior
Impacto: um problema na validação de entradas foi resolvido
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-48958
libnetcore
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação da memória de processo
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2025-24194: pesquisador anônimo
libxml2
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-24178: pesquisador anônimo
libxpc
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode apagar arquivos para os quais não tem permissão
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2025-31182: Alex Radocea e Dave G. da Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)
libxpc
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode obter privilégios elevados
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2025-24238: pesquisador anônimo
Maps
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na lógica.
CVE-2025-30470: LFY@secsys da Fudan University
NetworkExtension
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode enumerar os apps instalados de um usuário
Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.
CVE-2025-30426: Jimmy
Power Services
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.
CVE-2025-24173: Mickey Jin (@patch1t)
Safari
Disponível para: Apple Watch Series 6 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.
CVE-2025-24113: @RenwaX23
Safari
Disponível para: Apple Watch Series 6 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-30467: @RenwaX23
Safari
Disponível para: Apple Watch Series 6 e posterior
Impacto: a origem de um download pode ser associada incorretamente
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-24167: Syarif Muhammad Sajjad
Security
Disponível para: Apple Watch Series 6 e posterior
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai do Alibaba Group, Luyi Xing da Indiana University Bloomington
Share Sheet
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode descartar a notificação do sistema na tela de bloqueio de que uma gravação foi iniciada
Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
Disponível para: Apple Watch Series 6 e posterior
Impacto: um atalho pode acessar arquivos que normalmente são acessíveis ao app Atalhos
Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.
CVE-2025-30433: Andrew James Gonzalez
Siri
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias na restrição de acesso ao contêiner de dados.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Siri
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2025-24217: Kirin (@Pwnrin)
Siri
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: foi resolvido um problema de privacidade ao não registrar conteúdos de campos de texto.
CVE-2025-24214: Kirin (@Pwnrin)
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: um conteúdo da web criado com códigos maliciosos pode violar a política de área restrita de conteúdo da web. Esta é uma correção suplementar para um ataque que foi bloqueado no iOS 17.2. (A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos como alvo em versões do iOS anteriores ao iOS 17.2.)
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.
WebKit Bugzilla: 285858
CVE-2025-24201: Apple
Entrada adicionada em 9 de abril de 2025
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong e um pesquisador anônimo
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker da ParagonERP
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) e um pesquisador anônimo
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 285643
CVE-2025-30427: Rheza (@ginggilBesel)
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 286580
CVE-2025-30425: pesquisador anônimo
Outros reconhecimentos
Accounts
Gostaríamos de agradecer a Bohdan Stasiuk (@bohdan_stasiuk) pela ajuda.
Apple Account
Gostaríamos de agradecer a Byron Fecho pela ajuda.
Find My
Gostaríamos de agradecer a 神罚(@Pwnrin) pela ajuda.
Foundation
Gostaríamos de agradecer a Jann Horn do Google Project Zero pela ajuda.
Handoff
Gostaríamos de agradecer a Kirin e FlowerCode pela ajuda.
HearingCore
Gostaríamos de agradecer a Kirin@Pwnrin e LFY@secsys da Fudan University pela ajuda.
ImageIO
Gostaríamos de agradecer a D4m0n pela ajuda.
Gostaríamos de agradecer a Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau da Universidade Chinesa de Hong Kong, K宝 e LFY@secsys da Fudan University pela ajuda.
Messages
Gostaríamos de agradecer a parkminchan da Universidade da Coreia pela ajuda.
Photos
Gostaríamos de agradecer a Bistrit Dahal pela ajuda.
Sandbox Profiles
Gostaríamos de agradecer a Benjamin Hornbeck pela ajuda.
SceneKit
Gostaríamos de reconhecer Marc Schoenefeld, Dr. rer. nat., pela ajuda.
Screen Time
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do Lakshmi Narain College of Technology Bhopal, Índia, pela ajuda.
Security
Gostaríamos de agradecer a Kevin Jones (GitHub) pela ajuda.
Settings
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do C-DAC Thiruvananthapuram Índia pela ajuda.
Shortcuts
Gostaríamos de agradecer a Chi Yuan Chang da ZUSO ART e taikosoup, e a um pesquisador anônimo pela ajuda.
Siri
Gostaríamos de agradecer a Lyutoon pela ajuda.
Translations
Gostaríamos de agradecer a K宝(@Pwnrin) pela ajuda.
WebKit
Gostaríamos de agradecer a Gary Kwong, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL., Xiangwei Zhang, do Tencent Security YUNDING LAB, 냥냥, e um pesquisador anônimo pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.