Tietoja watchOS 26.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 26.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

watchOS 26.4

802.1X

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Audio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

CoreMedia

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: curlin ongelma saattoi aiheuttaa arkaluontoisten tietojen tahattoman lähetyksen väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

GeoServices

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

Siri

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2026-28856: nimetön tutkija

UIFoundation

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20665: webb

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen verkkosivusto saattoi pystyä käsittelemään rajoitettua verkkosisältöä sandboxin ulkopuolella.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Kiitokset

AirPort

Haluamme kiittää avusta Yashar Shahinzadehia, Saman Ebrahimnezhadia, Amir Safaria ja Omid Rezaiita.

Bluetooth

Haluamme kiittää avusta Hamid Mahmoudia.

Captive Network

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

CloudAttestation

Haluamme kiittää avusta Suresh Sundaramia ja Willard Jansenia.

CoreUI

Haluamme kiittää avusta Peter Malonea.

Find My

Haluamme kiittää avusta Salemdomainia.

GPU Drivers

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ICU

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

Kernel

Haluamme kiittää avusta DARKNAVYa (@DarkNavyOrg), Kylian Boulard De Pouquevilleä (Fuzzinglabs), Patrick Ventuzeloa (Fuzzinglabs), Robert Trania ja Suresh Sundaramia.

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs) sekä Arni Hardarsonia.

libc

Haluamme kiittää avusta Vitaly Simonovichia.

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

LLVM

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

Messages

Haluamme kiittää avusta JZ:aa.

MobileInstallation

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Quick Look

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta @RenwaX23:a, Farras Givaria, Syarif Muhammad Sajjadia ja Yairia.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Siri

Haluamme kiittää avusta Anand Mallayaa (tekniikkakonsultti, Anand Mallaya and Co.), Harsh Kirdoliaa ja Hrishikesh Parmaria (yksityisyrittäjä).

Spotlight

Haluamme kiittää avusta Bilge Kaan Mızrakia, Claude & Friends: Risk Analytics Research Groupia ja Zack Tickmania.

Time Zone

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India).

UIKit

Haluamme kiittää avusta AEC:tä, Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India), Bishal Kaflea (@whoisbishal.k), Carlos Lunaa (U.S. Department of the Navy), Dalibor Milanovicia, Daren Goodchildia, JS De Matteita, Maxwell Garnia, Zack Tickmania, fuyuu12:ta ja incredincompia.

Wallet

Haluamme kiittää avusta Zhongcheng Litä (IES Red Team, ByteDance).

Web Extensions

Haluamme kiittää avusta Carlos Jeurissenia, Rob Wuta (robwu.nl).

WebKit

Haluamme kiittää avusta Vamshi Pailia.

WebKit Process Model

Haluamme kiittää avusta Joseph Semaania.

Wi-Fi

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy) ja nimetöntä tutkijaa.

Wi-Fi Connectivity

Haluamme kiittää avusta Alex Radoceaa (Supernetworks, Inc).

Widgets

Haluamme kiittää avusta Marcel Voßia, Mitul Pranjayta ja Serok Çelikiä.