Informace o bezpečnostním obsahu watchOS 26.2

Tento dokument popisuje bezpečnostní obsah watchOS 26.2.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

watchOS 26.2

App Store

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit číst citlivé tokeny plateb.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-46288: floeki, Zhongcheng Li z týmu IES Red Team společnosti ByteDance

AppleJPEG

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování souboru může vést k poškození paměti

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Útočník může podvrhnout své ID volajícího ve FaceTimu.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2025-46287: anonymní výzkumník, Riley Walz

curl

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Několik problémů v knihovně curl.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-7264

CVE-2025-9086

Foundation

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může prostřednictvím rozhraní API kontroly pravopisu získat nesprávný přístup k souborům.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivých dat může vést k neočekávanému ukončení aplikace.

Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z týmu Meta Product Security

Icons

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit získat kořenová oprávnění.

Popis: Celočíselné přetečení bylo řešeno zavedením 64bitových časových značek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai ze společnosti Alibaba Group

Messages

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se zveřejněním informací byl vyřešen vylepšenou kontrolou soukromí.

CVE-2025-46276: Rosyna Keller z týmu Totally Not Malicious Software

Multi-Touch

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Škodlivé HID zařízení může způsobit nečekané ukončení procesu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2025-43533: Google Threat Analysis Group

Screen Time

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může získat přístup k historii prohlížeče Safari uživatele.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-43538: Iván Savransky

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.

CVE-2025-43531: Phil Pizlo ze společnosti Epic Games

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-14174.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-43529: Google Threat Analysis Group

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti. Apple má informace o tom, že tento problém mohl být zneužit k mimořádně sofistikovanému útoku na konkrétní cílové osoby používající verze iOS starší než iOS 26. V reakci na tuto položku byla rovněž vydána CVE-2025-43529.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.

CVE-2025-14174: Apple a Google Threat Analysis Group

WebKit Web Inspector

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-43511: 이동하 (Lee Dong Ha z týmu BoB 14th)

Další poděkování

AppleMobileFileIntegrity

Poděkování za pomoc zaslouží anonymní výzkumník.

AppSandbox

Poděkování za pomoc zaslouží Mickey Jin (@patch1t).

Core Services

Poděkování za pomoc zaslouží Golden Helm Securities.

Safari

Poděkování za pomoc zaslouží Mochammad Nosa Shandy Prastyo.

WebKit

Poděkování za pomoc zaslouží Geva Nurgandi Syahputra (gevakun).