מידע על תוכן האבטחה של watchOS 26.3

מסמך זה מתאר את תוכן האבטחה של watchOS 26.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

watchOS 26.3

Bluetooth

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Bluetooth בעלות מבנה זדוני

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2026-20650: ‏jioundai

CoreAudio

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-20611: אנונימי בעבודה עם Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20609: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

CoreServices

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2026-20617: ‏Gergely Kalman ‏(‎@gergely_kalman), ‏Csaba Fitzl ‏(‎@theevilbit) מ-Iru

CoreServices

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2026-20627: חוקר אנונימי

dyld

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף עם יכולת כתיבה לזיכרון עלול להצליח להפעיל קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. CVE-2025-14174 ו-CVE-2025-43529 גם הופקו בתגובה לדיווח זה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20700: ‏Google Threat Analysis Group

Game Center

זמין עבור: Apple Watch Series 6 ואילך

השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-20649: ‏Asaf Cohen

ImageIO

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2026-20675: ‏George Karchemsky ‏(‎@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20634: ‏George Karchemsky ‏(‎@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative

Kernel

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20654: ‏Jian Lee ‏(‎@speedyfriend433)

Kernel

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-20671: ‏Xin'an Zhou, ‏Juefei Pu, ‏Zhutian Liu, ‏Zhiyun Qian, ‏Zhaowei Tan, ‏Srikanth V. Krishnamurthy, ‏Mathy Vanhoef

libexpat

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-59375

libxpc

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2026-20667: חוקר אנונימי

Sandbox

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-20628: ‏Noah Gregory‏ (wts.dev)

StoreKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2026-20641: ‏Gongyu Ma ‏(‎@Mezone0)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20635: ‏EntryHi

תודות נוספות

Bluetooth

אנחנו מבקשים להודות ל-Tommaso Sacchetti על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Joseph Ravichandran ‏(‎@0xjprx) מ-MIT CSAIL, ל-Xinru Chi מ-Pangu Lab על הסיוע.

libpthread

אנחנו מבקשים להודות ל-Fabiano Anemone על הסיוע.

NetworkExtension

אנחנו מבקשים להודות ל-Gongyu Ma ‏(‎@Mezone0) על הסיוע.

Transparency

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing ‏(wojciechregula.blog) על הסיוע.

Wallet

אנחנו מבקשים להודות ל-Lorenzo Santina ‏(‎@BigNerd95) ול-Marco Bartoli ‏(‎@wsxarcher) על הסיוע.

WebKit

אנחנו מבקשים להודות ל-EntryHi, ל-Luigino Camastra מ-Aisle Research, ל-Stanislav Fort מ-Aisle Research, ל-Vsevolod Kokorin ‏(Slonser) מ-Solidlab ול-Jorian Woltjer על הסיוע.