À propos des correctifs de sécurité de watchOS 26.1

Le présent document décrit les correctifs de sécurité de watchOS 26.1.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

watchOS 26.1

Apple Account

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app malveillante peut être en mesure de prendre une capture d’écran de renseignements sensibles dans des vues intégrées.

Description : un problème de confidentialité a été résolu par de meilleures vérifications.

CVE-2025-43455 : Ron Masas de BreakPoint.SH, Pinak Oza

Apple Neural Engine

Disponible pour : Apple Watch Series 9 et modèles ultérieures, Apple Watch SE 2e génération, Apple Watch Ultra (tous les modèles)

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43447 : un chercheur anonyme

CVE-2025-43462 : un chercheur anonyme

AppleMobileFileIntegrity

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2025-43379 : Gergely Kalman (@gergely_kalman)

CloudKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2025-43448 : Hikerell (Loadshine Lab)

CoreServices

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2025-43436 : Zhongcheng Li de IES Red Team of ByteDance

CoreText

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un fichier multimédia malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2025-43445 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Find My

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’enregistrer les empreintes digitales de l’utilisateur.

Description : un problème de confidentialité a été résolu en déplaçant les données sensibles.

CVE-2025-43507 : iisBuri

FontParser

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’une police malveillante peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2025-43400 : Apple

Installer

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’enregistrer les empreintes digitales de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2025-43444 : Zhongcheng Li de IES Red Team of ByteDance

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43398 : Cristian Dinca (icmd.tech)

libxpc

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app sandbox pourrait être capable d’observer les connexions réseau à l’échelle du système

Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.

CVE-2025-43413 : Dave G. et Alex Radocea de supernetworks.org

Mail Drafts

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le contenu distant peut être chargé même lorsque le paramètre « Charger les images distantes » est désactivé.

Description : le problème a été résolu par l’ajout d’une logique supplémentaire.

CVE-2025-43496 : Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

MallocStackLogging

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : la gestion des variables d’environnement présentait un problème. Ce problème a été résolu par une meilleure validation.

CVE-2025-43294 : Gergely Kalman (@gergely_kalman)

Phone

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant ayant un accès physique à une Apple Watch verrouillée peut être en mesure de consulter la messagerie en direct.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2025-43459 : Dalibor Milanovic

Safari

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

Description : un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.

CVE-2025-43503 : @RenwaX23

Sandbox Profiles

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : Un problème de confidentialité a été résolu grâce à une meilleure gestion des préférences de l’utilisateur.

CVE-2025-43500 : Stanislav Jelezoglo

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un site Web malveillant peut extraire des données provenant d’origines multiples

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-43480 : Aleksejs Popovs

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2025-43458 : Phil Beauvoir

CVE-2025-43430 : Google Big Sleep

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-43443 : un chercheur anonyme

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2025-43440 : Nan Wang (@eternalsakura13)

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43438 : shandikri travaillant avec Trend Micro Zero Day Initiative

CVE-2025-43457 : Gary Kwong, Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CVE-2025-43434 : Google Big Sleep

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43435 : Justin Cohen of Google

CVE-2025-43425 : un chercheur anonyme

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à une corruption de la mémoire.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43433 : Google Big Sleep

CVE-2025-43431 : Google Big Sleep

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2025-43432 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2025-43429 : Google Big Sleep

WebKit Canvas

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un site Web peut extraire des données images provenant d’origines multiples.

Description : le problème a été résolu par une meilleure gestion des caches.

CVE-2025-43392 : Tom Van Goethem

Remerciements supplémentaires

Mail

Nous tenons à remercier un chercheur anonyme pour son aide.

MobileInstallation

Nous tenons à remercier Bubble Zhang pour son aide.

Safari

Nous tenons à remercier Barath Stalin K pour son aide.

Shortcuts

Nous tenons à remercier BanKai, Benjamin Hornbeck, Chi Yuan Chang de ZUSO ART et taikosoup, Ryan May, Andrew James Gonzalez, et un chercheur anonyme pour leur aide.

WebKit

Nous tenons à remercier Enis Maholli (enismaholli.com) et Google Big Sleep pour leur aide.