Om säkerhetsinnehållet i watchOS 11.4

I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 11.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

watchOS 11.4

AirDrop

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan läsa opålitliga filers metadata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-24097: Ron Masas på BREAKPOINT.SH

AirPlay

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En angripare på det lokala nätverket kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan kringgå ASLR

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43205: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Audio

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kanske kan leda till att processminnet avslöjas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24244: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Audio

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24243: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Authentication Services

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Automatisk ifyllnad av lösenord kan fylla i lösenord efter misslyckad autentisering

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30430: Dominik Rath

Authentication Services

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En skadlig webbplats kan begära WebAuthn-inloggningsuppgifter från en annan webbplats som delar ett registrerbart suffix

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-24180: Martin Kreichgauer på Google Chrome

BiometricKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Uppspelning av en skadlig ljudfil kanske kan leda till oväntat appavslut

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24230: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreGraphics

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-31196: wac i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en videofil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24190: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia Playback

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app med skadligt innehåll kanske kan få åtkomst till personlig information

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) på Microsoft, och en anonym forskare

CoreText

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kanske kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24182: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreUtils

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Ett problem med indatavalidering åtgärdades

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-9681

Focus

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-30439: Andr.Ess

Focus

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet löstes genom rensning av loggningar

CVE-2025-30447: LFY@secsys från Fudan University

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Tolkning av en bild kanske kan leda till att användarinformation avslöjas

Beskrivning: Ett logikfel åtgärdades genom förbättrad filhantering.

CVE-2025-24210: Anonym i samarbete med Trend Micro Zero Day Initiative

IOGPUFamily

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24257: Wang Yu på Cyberserval

Kernel

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En skadlig app kanske kan försöka ange lösenkod på en låst enhet och därmed orsaka eskalerande tidsfördröjningar efter 4 misslyckanden

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Ett problem med indatavalidering åtgärdades

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-48958

libnetcore

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-24194: En anonym forskare

libxml2

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24178: En anonym forskare

libxpc

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan kanske radera filer som den inte har behörighet till

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.

CVE-2025-31182: Alex Radocea och Dave G. på Supernetworks, 风沐云烟(@binary_fmyy) och Minghao Lin(@Y1nKoc)

libxpc

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan få ökad behörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-24238: En anonym forskare

Maps

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad logik.

CVE-2025-30470: LFY@secsys från Fudan University

NetworkExtension

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-30426: Jimmy

Power Services

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-24113: @RenwaX23

Safari

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-30467: @RenwaX23

Safari

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En hämtnings ursprung kan vara felaktigt associerat

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En fjärrangripare kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai på Alibaba Group, Luyi Xing på Indiana University Bloomington

Share Sheet

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En skadlig app kanske kan avfärda systemmeddelandet på låsskärmen om att en inspelning har startats

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En genväg kanske kan få åtkomst till filer som appen Shortcuts normalt inte kan få åtkomst till

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2025-30433: Andrew James Gonzalez

Siri

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad begränsning av åtkomst till databehållare.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom att innehållet i textfält inte loggas.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Skadligt webbinnehåll kanske kan bryta sig ur sandlådan för webbinnehåll. Detta är en kompletterande åtgärd för en attack som blockerades i iOS 17.2. (Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 17.2.)

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2025-24201: Apple

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24264: Gary Kwong och en anonym forskare

CVE-2025-24216: Paul Bakker på ParagonERP

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2025-24209: Francisco Alonso (@revskills) och en anonym forskare

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30425: En anonym forskare

Ytterligare tack

Accounts

Vi vill tacka Bohdan Stasiuk (@bohdan_stasiuk) för hjälpen.

Apple Account

Vi vill tacka Byron Fecho för hjälpen.

Find My

Vi vill tacka 神罚(@Pwnrin) för hjälpen.

Foundation

Vi vill tacka Jann Horn på Google Project Zero för hjälpen.

Handoff

Vi vill tacka Kirin (@) och Roman FlowerCode för hjälpen.

HearingCore

Vi vill tacka Kirin@Pwnrin och LFY@secsys från Fudan University för hjälpen.

ImageIO

Vi vill tacka D4m0n för hjälpen.

Mail

Vi vill tacka Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau på The Chinese University of Hong Kong, K宝 och LFY@secsys från Fudan University för hjälpen.

Messages

Vi vill tacka parkminchan från Korea Univ. för hjälpen.

Photos

Vi vill tacka Bistrit Dahal för hjälpen.

Sandbox Profiles

Vi vill tacka Benjamin Hornbeck för hjälpen.

SceneKit

Vi vill tacka Marc Schoenefeld, Dr. rer. nat. för hjälpen.

Screen Time

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

Security

Vi vill tacka Kevin Jones (GitHub) för hjälpen.

Settings

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på C-DAC Thiruvananthapuram Indien för hjälpen.

Shortcuts

Vi vill tacka Chi Yuan Chang of ZUSO ART och taikosoup, och en anonym forskare för hjälpen.

Siri

Vi vill tacka Lyutoon för hjälpen.

Translations

Vi vill tacka K宝(@Pwnrin) för hjälpen.

WebKit

Vi vill tacka Gary Kwong, P1umer (@p1umer) och Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang och Daoyuan Wu på HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) på VXRL, Wong Wai Kin, Dongwei Xiao och Shuai Wang på HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) på VXRL., Xiangwei Zhang på Tencent Security YUNDING LAB, 냥냥 och en anonym forskare för hjälpen.