Sobre o conteúdo de segurança do watchOS 11.4

Este documento descreve o conteúdo de segurança do watchOS 11.4.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

watchOS 11.4

AirDrop

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode ler metadados de arquivo arbitrários

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-24097: Ron Masas de BREAKPOINT.SH

AirPlay

Disponível para: Apple Watch Series 6 e posterior

Impacto: um invasor em uma rede local pode causar o encerramento inesperado de um app

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode ignorar ASLR

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43205: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Audio

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24244: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Audio

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24243: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Authentication Services

Disponível para: Apple Watch Series 6 e posterior

Impacto: o preenchimento automático de senha pode preencher senhas após falha na autenticação

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponível para: Apple Watch Series 6 e posterior

Impacto: um site mal-intencionado pode reivindicar credenciais WebAuthn de outro site que compartilha um sufixo registrável

Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.

CVE-2025-24180: Martin Kreichgauer do Google Chrome

BiometricKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Disponível para: Apple Watch Series 6 e posterior

Impacto: a reprodução de um arquivo de áudio mal-intencionado pode levar ao encerramento inesperado do app

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-24230: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreGraphics

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-31196: wac em parceria com a Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple Watch Series 6 e posterior

Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24190: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia Playback

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app mal-intencionado pode ter acesso a informações privadas

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo), da Microsoft, e um pesquisador anônimo

CoreText

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-24182: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: Apple Watch Series 6 e posterior

Impacto: um invasor na rede local pode causar uma negação de serviço

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponível para: Apple Watch Series 6 e posterior

Impacto: um problema na validação de entradas foi resolvido

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-9681

Focus

Disponível para: Apple Watch Series 6 e posterior

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-30439: Andr.Ess

Focus

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido pela sanitização do registro

CVE-2025-30447: LFY@secsys da Fudan University

ImageIO

Disponível para: Apple Watch Series 6 e posterior

Impacto: a análise de uma imagem pode levar à divulgação de informações do usuário

Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.

CVE-2025-24210: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

IOGPUFamily

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-24257: Wang Yu da Cyberserval

Kernel

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app mal-intencionado pode tentar inserir a senha em um dispositivo bloqueado e, assim, causar atrasos de tempo escalonados após 4 falhas

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30432: Michael (Biscuit) Thomas — @biscuit@social.lol

libarchive

Disponível para: Apple Watch Series 6 e posterior

Impacto: um problema na validação de entradas foi resolvido

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-48958

libnetcore

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação da memória de processo

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-24194: pesquisador anônimo

libxml2

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-24178: pesquisador anônimo

libxpc

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode apagar arquivos para os quais não tem permissão

Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.

CVE-2025-31182: Alex Radocea e Dave G. da Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)

libxpc

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode obter privilégios elevados

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-24238: pesquisador anônimo

Maps

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na lógica.

CVE-2025-30470: LFY@secsys da Fudan University

NetworkExtension

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2025-30426: Jimmy

Power Services

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponível para: Apple Watch Series 6 e posterior

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.

CVE-2025-24113: @RenwaX23

Safari

Disponível para: Apple Watch Series 6 e posterior

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-30467: @RenwaX23

Safari

Disponível para: Apple Watch Series 6 e posterior

Impacto: a origem de um download pode ser associada incorretamente

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Disponível para: Apple Watch Series 6 e posterior

Impacto: um usuário remoto podia causar uma negação de serviço

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai do Alibaba Group, Luyi Xing da Indiana University Bloomington

Share Sheet

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app mal-intencionado pode descartar a notificação do sistema na tela de bloqueio de que uma gravação foi iniciada

Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponível para: Apple Watch Series 6 e posterior

Impacto: um atalho pode acessar arquivos que normalmente são acessíveis ao app Atalhos

Descrição: o problema foi resolvido por meio de restrições de acesso aprimoradas.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias na restrição de acesso ao contêiner de dados.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: foi resolvido um problema de privacidade ao não registrar conteúdos de campos de texto.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: um conteúdo da web criado com códigos maliciosos pode violar a política de área restrita de conteúdo da web. Esta é uma correção suplementar para um ataque que foi bloqueado no iOS 17.2. (A Apple está ciente de um relatório de que esse problema pode ter sido explorado em um ataque extremamente sofisticado contra indivíduos específicos como alvo em versões do iOS anteriores ao iOS 17.2.)

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.

CVE-2025-24201: Apple

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24264: Gary Kwong e um pesquisador anônimo

CVE-2025-24216: Paul Bakker da ParagonERP

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24209: Francisco Alonso (@revskills) e um pesquisador anônimo

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-30427: Rheza (@ginggilBesel)

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-30425: pesquisador anônimo

Outros reconhecimentos

Accounts

Gostaríamos de agradecer a Bohdan Stasiuk (@bohdan_stasiuk) pela ajuda.

Apple Account

Gostaríamos de agradecer a Byron Fecho pela ajuda.

Find My

Gostaríamos de agradecer a 神罚(@Pwnrin) pela ajuda.

Foundation

Gostaríamos de agradecer a Jann Horn do Google Project Zero pela ajuda.

Handoff

Gostaríamos de agradecer a Kirin e FlowerCode pela ajuda.

HearingCore

Gostaríamos de agradecer a Kirin@Pwnrin e LFY@secsys da Fudan University pela ajuda.

ImageIO

Gostaríamos de agradecer a D4m0n pela ajuda.

Mail

Gostaríamos de agradecer a Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau da Universidade Chinesa de Hong Kong, K宝 e LFY@secsys da Fudan University pela ajuda.

Messages

Gostaríamos de agradecer a parkminchan da Universidade da Coreia pela ajuda.

Photos

Gostaríamos de agradecer a Bistrit Dahal pela ajuda.

Sandbox Profiles

Gostaríamos de agradecer a Benjamin Hornbeck pela ajuda.

SceneKit

Gostaríamos de reconhecer Marc Schoenefeld, Dr. rer. nat., pela ajuda.

Screen Time

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do Lakshmi Narain College of Technology Bhopal, Índia, pela ajuda.

Security

Gostaríamos de agradecer a Kevin Jones (GitHub) pela ajuda.

Settings

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do C-DAC Thiruvananthapuram Índia pela ajuda.

Shortcuts

Gostaríamos de agradecer a Chi Yuan Chang da ZUSO ART e taikosoup, e a um pesquisador anônimo pela ajuda.

Siri

Gostaríamos de agradecer a Lyutoon pela ajuda.

Translations

Gostaríamos de agradecer a K宝(@Pwnrin) pela ajuda.

WebKit

Gostaríamos de agradecer a Gary Kwong, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang do HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) da VXRL., Xiangwei Zhang, do Tencent Security YUNDING LAB, 냥냥, e um pesquisador anônimo pela ajuda.