À propos des correctifs de sécurité de watchOS 26.4

Ce document décrit les correctifs de sécurité de watchOS 26.4

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

watchOS 26.4

802.1X

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic du réseau.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2026-28865 : Héloïse Gollier et Mathy Vanhoef (KU Leuven)

Accounts

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-28877 : Rosyna Keller de Totally Not Malicious Software

Audio

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28879 : Justin Cohen de Google

Audio

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant pourrait être en mesure de provoquer la fermeture inopinée d’une app.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28822 : Jex Amro

CoreMedia

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un flux audio contenu dans un fichier multimédia malveillant peut interrompre le processus.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-20690 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un utilisateur bénéficiant d’une position privilégiée sur un réseau pourrait être en mesure de causer une interruption de service.

Description : un problème de déréférencement de pointeurs null a été résolu par une validation des entrées améliorée.

CVE-2026-28886 : Etienne Charron (Renault) et Victoria Martini (Renault)

Crash Reporter

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2026-28878 : Zhongcheng Li de IES Red Team

curl

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une faille présente dans curl pourrait entraîner l’envoi involontaire d’informations confidentielles sur une connexion incorrecte

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2025-14524

GeoServices

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28870 : XiguaSec

ImageIO

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2025-64505

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28868 : 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20698 : DARKNAVY (@DarkNavyOrg)

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20687 : Johnny Franks (@zeroxjf)

libxpc

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2026-28882 : Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure d’enregistrer les empreintes digitales de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2026-28863 : Gongyu Ma (@Mezone0)

Security

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant local peut être en mesure d’accéder aux éléments du trousseau de l’utilisateur.

Description : ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2026-28864 : Alex Radocea

Siri

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant bénéficiant d’un accès physique à un appareil verrouillé peut être en mesure de consulter des informations sensibles sur l’utilisateur

Description : ce problème a été résolu par un processus d’authentification amélioré.

CVE-2026-28856 : un chercheur anonyme

UIFoundation

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être à l’origine d’un déni de service.

Description : un problème de dépassement de pile a été résolu par une meilleure validation des entrées.

CVE-2026-28852 : Caspian Tarafdar

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2026-20665 : webb

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un site Web malveillant pourrait être en mesure de traiter du contenu Web soumis à des restrictions à l’extérieur du bac à sable.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28859 : greenbynox, Arni Hardarson

WebKit Sandboxing

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une page web malicieusement conçue peut permettre de prendre l’empreinte de l’utilisateur.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2026-20691 : Gongyu Ma (@Mezone0)

Remerciements supplémentaires

AirPort

Nous tenons à remercier Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii pour leur aide.

Bluetooth

Nous tenons à remercier Hamid Mahmoud pour son aide.

Captive Network

Nous tenons à remercier Kun Peeks (@SwayZGl1tZyyy) pour son aide.

CloudAttestation

Nous tenons à remercier Suresh Sundaram, Willard Jansen pour leur aide.

CoreUI

Nous tenons à remercier Peter Malone pour son aide.

Find My

Nous tenons à remercier Salemdomain pour son aide.

GPU Drivers

Nous tenons à remercier Jian Lee (@speedyfriend433) pour son aide.

ICU

Nous tenons à remercier Jian Lee (@speedyfriend433) pour son aide.

Kernel

Nous tenons à remercier DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran, Suresh Sundaram pour leur aide.

libarchive

Nous tenons à remercier Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs, Arni Hardarson pour leur aide.

libc

Nous tenons à remercier Vitaly Simonovich pour son aide.

Libnotify

Nous tenons à remercier Ilias Morad (@A2nkF_) pour son aide.

LLVM

Nous tenons à remercier Nathaniel Oh (@calysteon) pour son aide.

Messages

Nous tenons à remercier JZ pour son aide.

MobileInstallation

Nous tenons à remercier Gongyu Ma (@Mezone0) pour son aide.

ppp

Nous tenons à remercier Dave G. pour son aide.

Quick Look

Nous tenons à remercier Wojciech Regula de SecuRing (wojciechregula.blog), un chercheur anonyme, pour leur aide.

Safari

Nous tenons à remercier @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair pour leur aide.

Shortcuts

Nous tenons à remercier Waleed Barakat (@WilDN00B) et Paul Montgomery (@nullevent) pour leur aide.

Siri

Nous tenons à remercier Anand Mallaya, consultant technique chez Anand Mallaya and Co., ainsi que Harsh Kirdolia et Hrishikesh Parmar, travailleurs indépendants, pour leur aide.

Spotlight

Nous tenons à remercier Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman pour leur aide.

Time Zone

Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) de Safran Mumbai en Inde pour son aide.

UIKit

Nous tenons à remercier AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp pour leur aide.

Wallet

Nous tenons à remercier Zhongcheng Li d’IES Red Team de ByteDance pour son aide.

Web Extensions

Nous tenons à remercier Carlos Jeurissen, Rob Wu (robwu.nl) pour leur aide.

WebKit

Nous tenons à remercier Vamshi Paili pour son aide.

WebKit Process Model

Nous tenons à remercier Joseph Semaan pour son aide.

Wi-Fi

Nous tenons à remercier Kun Peeks (@SwayZGl1tZyyy), un chercheur anonyme, pour leur aide.

Wi-Fi Connectivity

Nous tenons à remercier Alex Radocea de Supernetworks, Inc pour son aide.

Widgets

Nous tenons à remercier Marcel Voß, Mitul Pranjay, Serok Çelik pour leur aide.