Informace o bezpečnostním obsahu watchOS 26.5
Tento dokument popisuje bezpečnostní obsah watchOS 26.5.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 26.5
Vydáno 11. května 2026
Accelerate
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-28988: Asaf Cohen
APFS
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28959: Dave G.
App Intents
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pro Reverse Society
AppleJPEG
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2026-1837
AppleJPEG
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28956: impost0r (ret2plt)
Audio
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-39869: David Ige z týmu Beryllium Security
CoreSymbolication
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2026-28918: Niels Hofmans, anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti TrendAI
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2026-43661: anonymní výzkumník
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28977: Suresh Sundaram
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOHIDFamily
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2026-28943: Google Threat Analysis Group
IOKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
IOSurfaceAccelerator
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-43655: Somair Ansar a anonymní výzkumník
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupu.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokulakannan
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Ryan Hileman prostřednictvím Xint Code (xint.io)
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) ze společnosti Talence Security, Ryan Hileman prostřednictvím Xint Code (xint.io)
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
LaunchServices
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-43666: Ian van der Wurff (ian.nl)
SceneKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28846: Peter Malone
Spotlight
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.
CVE-2026-28974: Andy Koo (@andykoo) z týmu Hexens
Storage
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2026-28996: Alex Radocea
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti TrendAI, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac a Kookhwan Lee ve spolupráci se Zero Day Initiative společnosti TrendAI
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) ze společnosti Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Tým Aisle Offensive Security Research (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z týmu Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: anonymní výzkumník
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr a Nicholas Carlini ve spolupráci s Claudem od Anthropicu
Wi-Fi
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočník v privilegované síti může pomocí upravených Wi‑Fi paketů provést útok odmítnutím služeb.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-28994: Alex Radocea
zlib
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.
Popis: Únik informací byl řešen dodatečným ověřením.
CVE-2026-28920: Brendon Tiszka z týmu Google Project Zero
Další poděkování
App Intents
Poděkování za pomoc zaslouží Mikael Kinnman.
Apple Account
Poděkování za pomoc zaslouží Iván Savransky, YingQi Shi (@Mas0nShi) z laboratoře WeBin společnosti DBAppSecurity.
AuthKit
Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).
CoreUI
Poděkování za pomoc zaslouží Mustafa Calap.
ICU
Poděkování za pomoc zaslouží anonymní výzkumník.
Kernel
Poděkování za pomoc zaslouží Ryan Hileman prostřednictvím Xint Code (xint.io), Suresh Sundaram a anonymní výzkumník.
Libnotify
Poděkování za pomoc zaslouží Ilias Morad (@A2nkF_).
mDNSResponder
Poděkování za pomoc zaslouží Jason Grove.
Messages
Poděkování za pomoc zaslouží Jeffery Kimbrow.
Siri
Poděkování za pomoc zaslouží Yoav Magid.
WebKit
Poděkování za pomoc zaslouží Vitaly Simonovich.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.