Informace o bezpečnostním obsahu watchOS 26.4

Tento dokument popisuje bezpečnostní obsah watchOS 26.4.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

watchOS 26.4

802.1X

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

Accounts

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28877: Rosyna Keller z týmu Totally Not Malicious Software

Audio

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28879: Justin Cohen ze společnosti Google

Audio

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2026-28822: Jex Amro

CoreMedia

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-20690: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreUtils

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Uživateli s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-28878: Zhongcheng Li z týmu IES Red Team

curl

K dispozici pro: Apple Watch Series 6 a novější

Dopad: V curl existoval problém, který může vést k neúmyslnému odesílání citlivých informací přes nesprávné připojení.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-14524

GeoServices

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Únik informací byl řešen dodatečným ověřením.

CVE-2026-28870: XiguaSec

ImageIO

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-64505

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2026-28868: 이동하 (Lee Dong Ha z týmu BoB 0xB6)

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2026-28882: Ilias Morad (A2nkF) z týmu Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Místní útočník může získat přístup k položkám v uživatelově klíčence.

Popis: Problém byl vyřešen vylepšením kontroly oprávnění.

CVE-2026-28864: Alex Radocea

Siri

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém byl vyřešen vylepšením ověřování.

CVE-2026-28856: anonymní výzkumník

UIFoundation

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28852: Caspian Tarafdar

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-20665: webb

WebKit

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Škodlivému webu se může podařit zpracovat zakázaný webový obsah mimo sandbox.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

K dispozici pro: Apple Watch Series 6 a novější

Dopad: Škodlivému webu se může podařit vytvořit reprezentaci uživatele.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Další poděkování

AirPort

Poděkování za pomoc zaslouží Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Poděkování za pomoc zaslouží Hamid Mahmoud.

Captive Network

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy).

CloudAttestation

Poděkování za pomoc zaslouží Suresh Sundaram, Willard Jansen.

CoreUI

Poděkování za pomoc zaslouží Peter Malone.

Find My

Poděkování za pomoc zaslouží Salemdomain.

GPU Drivers

Poděkování za pomoc zaslouží Jian Lee (@speedyfriend433).

ICU

Poděkování za pomoc zaslouží Jian Lee (@speedyfriend433).

Kernel

Poděkování za pomoc zaslouží DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville From Fuzzinglabs, Patrick Ventuzelo From Fuzzinglabs, Robert Tran, Suresh Sundaram.

libarchive

Poděkování za pomoc zaslouží Andreas Jaegersberger a Ro Achterberg z týmu Nosebeard Labs, Arni Hardarson.

libc

Poděkování za pomoc zaslouží Vitaly Simonovich.

Libnotify

Poděkování za pomoc zaslouží Ilias Morad (@A2nkF_).

LLVM

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

Messages

Poděkování za pomoc zaslouží JZ.

MobileInstallation

Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).

ppp

Poděkování za pomoc zaslouží Dave G.

Quick Look

Poděkování za pomoc zaslouží Wojciech Regula z týmu SecuRing (wojciechregula.blog), anonymní výzkumník.

Safari

Poděkování za pomoc zaslouží @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Poděkování za pomoc zaslouží Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).

Siri

Poděkování za pomoc zaslouží Anand Mallaya, technický poradce, Anand Mallaya a spol., Harsh Kirdolia, Hrishikesh Parmar na volné noze.

Spotlight

Poděkování za pomoc zaslouží Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

Time Zone

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) ze společnosti Safran Mumbai India.

UIKit

Poděkování za pomoc zaslouží AEC, Abhay Kailasia (@abhay_kailasia) z týmu Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Poděkování za pomoc zaslouží Zhongcheng Li z týmu IES Red Team společnosti ByteDance.

Web Extensions

Poděkování za pomoc zaslouží Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Poděkování za pomoc zaslouží Vamshi Paili.

WebKit Process Model

Poděkování za pomoc zaslouží Joseph Semaan.

Wi-Fi

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy), anonymní výzkumník.

Wi-Fi Connectivity

Poděkování za pomoc zaslouží Alex Radocea z týmu Supernetworks, Inc.

Widgets

Poděkování za pomoc zaslouží Marcel Voß, Mitul Pranjay, Serok Çelik.