Despre conținutul de securitate din watchOS 11.4

Acest document descrie conținutul de securitate din watchOS 11.4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

watchOS 11.4

AirDrop

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate citi metadate ale unor fișiere arbitrare

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-24097: Ron Masas din cadrul BREAKPOINT.SH

AirPlay

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate să ocolească ASLR

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43205: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Audio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24244: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Audio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24243: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Authentication Services

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: Completarea automată a parolelor poate completa parole după eșuarea autentificării

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web rău intenționat ar putea să revendice acreditări WebAuthn de pe un alt site web care partajează un sufix care poate fi înregistrat

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2025-24180: Martin Kreichgauer din cadrul Google Chrome

BiometricKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: redarea un fișier audio modificat cu rea intenție poate cauza terminarea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24230: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreGraphics

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-31196: wac în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24190: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia Playback

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) de la Microsoft, și un cercetător anonim

CoreText

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24182: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreUtils

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-9681

Focus

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-30439: Andr.Ess

Focus

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost rezolvată prin curățarea înregistrărilor

CVE-2025-30447: LFY@secsys de la Universitatea Fudan

ImageIO

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: analizarea unui fișier de imagine poate cauza divulgarea informațiilor despre utilizator

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2025-24210: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

IOGPUFamily

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2025-24257: Wang Yu de la Cyberserval

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație rău intenționată poate fi capabilă să introducă parole pe un dispozitiv blocat și să determine, prin urmare, escaladarea întârzierilor de timp după 4 încercări eșuate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-48958

libnetcore

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24194: un cercetător anonim

libxml2

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24178: un cercetător anonim

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2025-31182: Alex Radocea și Dave G. din cadrul Supernetworks, 风沐云烟(@binary_fmyy) și Minghao Lin(@Y1nKoc)

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24238: un cercetător anonim

Maps

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2025-30470: LFY@secsys de la Universitatea Fudan

NetworkExtension

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-30426: Jimmy

Power Services

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.

CVE-2025-24113: @RenwaX23

Safari

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-30467: @RenwaX23

Safari

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: originea unei descărcări poate fi asociată incorect

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2025-30471: Bing Shi, Wenchao Li și Xiaolong Bai de la Alibaba Group, Luyi Xing de la Indiana University Bloomington

Share Sheet

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație rău intenționată poate fi capabilă să anuleze notificarea de sistem privind pornirea unei aplicații de înregistrare, pe un Ecran Blocat

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o scurtătură poate fi capabilă să acceseze fișiere care sunt, în mod obișnuit, inaccesibile aplicației Shortcuts

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de confidențialitate a fost rezolvată prin neînregistrarea conținuturilor în câmpurile de text.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: conținutul web creat cu rea intenție poate ieși din sandboxul de conținut web. Aceasta este o soluție suplimentară pentru un atac care a fost blocat în iOS 17.2. (Apple este la curent cu un raport conform căruia este posibil ca această problemă să fi fost exploatată într-un atac extrem de sofisticat împotriva anumitor persoane vizate pe versiuni iOS anterioare versiunii iOS 17.2.)

Descriere: o problemă de scriere în afara limitelor a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2025-24201: Apple

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24264: Gary Kwong și un cercetător anonim

CVE-2025-24216: Paul Bakker din cadrul ParagonERP

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2025-24209: Francisco Alonso (@revskills) și un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-30425: un cercetător anonim

Alte mențiuni

Accounts

Dorim să îi mulțumim lui Bohdan Stasiuk (@bohdan_stasiuk) pentru asistența acordată.

Apple Account

Dorim să îi mulțumim lui Byron Fecho pentru asistența acordată.

Find My

Dorim să îi mulțumim lui 神罚(@Pwnrin) pentru asistența acordată.

Foundation

Dorim să îi mulțumim pentru asistență lui Jann Horn (Google Project Zero).

Handoff

Dorim să le mulțumim lui Kirin și lui FlowerCode pentru asistența acordată.

HearingCore

Dorim să le mulțumim lui Kirin@Pwnrin și lui LFY@secsys din cadrul Fudan University pentru asistența acordată.

ImageIO

Dorim să îi mulțumim lui D4m0n pentru asistența acordată.

Mail

Dorim să le mulțumim lui Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau din cadrul Chinese University of Hong Kong, K宝 și LFY@secsys din cadrul Fudan University pentru asistența acordată.

Messages

Dorim să îi mulțumim lui parkminchan din cadrul Korea Univ. pentru asistența acordată.

Photos

Dorim să-i mulțumim lui Bistrit Dahal pentru asistența acordată.

Sandbox Profiles

Dorim să îi mulțumim lui Benjamin Hornbeck pentru asistența acordată.

SceneKit

Dorim să-i mulțumim lui Marc Schoenefeld, Dr. rer. nat. pentru asistența acordată.

Screen Time

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

Security

Dorim să-i mulțumim lui Kevin Jones (GitHub) pentru asistență.

Settings

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) din cadrul C-DAC Thiruvananthapuram India pentru asistența acordată.

Shortcuts

Dorim să îi mulțumim lui Chi Yuan Chang din cadrul ZUSO ART și taikosoup și unui cercetător anonim pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Lyutoon pentru asistența acordată.

Translations

Dorim să-i mulțumim lui K宝(@Pwnrin) pentru asistența acordată.

WebKit

Dorim să îi mulțumim lui Gary Kwong, P1umer (@p1umer) și Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang și Daoyuan Wu din cadrul HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) din cadrul VXRL, Wong Wai Kin, Dongwei Xiao și Shuai Wang din cadrul HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) din cadrul VXRL., Xiangwei Zhang din cadrul Tencent Security YUNDING LAB, 냥냥 și unui cercetător anonim pentru asistența acordată.