מידע על תוכן האבטחה של watchOS 26.5
מסמך זה מתאר את תוכן האבטחה של watchOS 26.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
watchOS 26.5
הופצה ב‑11 במאי 2026
Accelerate
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2026-28988: Asaf Cohen
APFS
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2026-28959: Dave G.
App Intents
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) עבור Reverse Society
AppleJPEG
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2026-1837
AppleJPEG
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2026-28956: impost0r (ret2plt)
Audio
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-39869: David Ige מ‑Beryllium Security
CoreSymbolication
זמין עבור: Apple Watch Series 6 ואילך
השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-28918: Niels Hofmans, Anonymous בעבודה עם TrendAI Zero Day Initiative
ImageIO
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-43661: חוקר אנונימי
ImageIO
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2026-28977: Suresh Sundaram
ImageIO
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOHIDFamily
זמין עבור: Apple Watch Series 6 ואילך
השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2026-28943: Google Threat Analysis Group
IOKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
IOSurfaceAccelerator
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגרום לסגירה בלתי צפויה של המערכת או לקרוא זיכרון ליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-43655: Somair Ansar וחוקר אנונימי
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה
תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ו‑Pan Zhenpeng (@Peterpan0927) מ‑STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2026-28972: Billy Jheng Bing Jhong ו‑Pan Zhenpeng (@Peterpan0927) מ‑STAR Labs SG Pte. Ltd., Ryan Hileman באמצעות Xint Code (xint.io)
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) מ‑Talence Security, Ryan Hileman באמצעות Xint Code (xint.io)
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
LaunchServices
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-43666: Ian van der Wurff (ian.nl)
SceneKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של היישום
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2026-28846: Peter Malone
Spotlight
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2026-28974: Andy Koo (@andykoo) מ‑Hexens
Storage
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2026-28996: Alex Radocea
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anonymous בעבודה עם TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac ו‑Kookhwan Lee בעבודה עם TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) מ‑Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: צוות המחקר לאבטחה התקפית ב‑Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern ו‑Guido Vranken), Maher Azzouzi, Ngan Nguyen מ‑Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr ו‑Nicholas Carlini עם Claude, Anthropic
Wi-Fi
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Wi-Fi בעלות מבנה זדוני
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-28994: Alex Radocea
zlib
זמין עבור: Apple Watch Series 6 ואילך
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: דליפת מידע טופלה עם אימות נוסף.
CVE-2026-28920: Brendon Tiszka מ-Google Project Zero
תודות נוספות
App Intents
אנחנו מבקשים להודות ל-Mikael Kinnman על הסיוע.
Apple Account
אנחנו מבקשים להודות ל‑Iván Savransky, ל-YingQi Shi (@Mas0nShi) מ‑DBAppSecurity's WeBin lab על הסיוע.
AuthKit
אנחנו מבקשים להודות ל-Gongyu Ma (@Mezone0) על הסיוע.
CoreUI
אנחנו מבקשים להודות ל‑Mustafa Calap על הסיוע.
ICU
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Kernel
אנחנו מבקשים להודות ל‑Ryan Hileman באמצעות Xint Code (xint.io) ול‑Suresh Sundaram, חוקר אנונימי על הסיוע.
Libnotify
אנחנו מבקשים להודות ל-Ilias Morad (@A2nkF_) על הסיוע.
mDNSResponder
אנחנו מבקשים להודות ל-Jason Grove על הסיוע.
Messages
אנחנו מבקשים להודות ל-Jeffery Kimbrow על הסיוע.
Siri
אנחנו מבקשים להודות ל-Yoav Magid על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Vitaly Simonovich על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.