Tietoja watchOS 26.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 26.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

watchOS 26.3

Bluetooth

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Bluetooth-paketteja.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2026-20650: jioundai

CoreAudio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20611: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit, Iru)

CoreServices

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Ympäristömuuttujien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2026-20627: nimetön tutkija

dyld

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä, jolla oli muistin kirjoitusoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 26 -versiota edeltävissä iOS-versioissa. Myös CVE-2025-14174 ja CVE-2025-43529 julkaistiin tähän reporttiin liittyen.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20649: Asaf Cohen

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-20675: George Karchemsky (@gkarchemsky) yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20634: George Karchemsky (@gkarchemsky) yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-59375

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20667: nimetön tutkija

Sandbox

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20635: EntryHi

Kiitokset

Bluetooth

Haluamme kiittää avusta Tommaso Sacchettia.

Kernel

Haluamme kiittää avusta Joseph Ravichandrania (@0xjprx, MIT CSAIL) ja Xinru Chitä (Pangu Lab).

libpthread

Haluamme kiittää avusta Fabiano Anemonia.

NetworkExtension

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog).

Wallet

Haluamme kiittää avusta Lorenzo Santinaa (@BigNerd95) ja Marco Bartolia (@wsxarcher).

WebKit

Haluamme kiittää avusta nimimerkkiä EntryHi, Luigino Camastraa (Aisle Research), Stanislav Fortia (Aisle Research), Vsevolod Kokorinia (Slonser, Solidlab) ja Jorian Woltjeria.