Informacije o sigurnosnom sadržaju sustava watchOS 26.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 26.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 26.5

Accelerate

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28988: Asaf Cohen

APFS

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28959: Dave G.

App Intents

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

AppleJPEG

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2026-1837

AppleJPEG

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39869: David Ige (Beryllium Security)

CoreSymbolication

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28918: Niels Hofmans, anonimni istraživač u suradnji s inicijativom Zero Day (TrendAI)

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43661: anonimni istraživač

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43655: Somair Ansar i anonimni istraživač

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) (Talence Security), Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano isključivanje aplikacije

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28846: Peter Malone

Spotlight

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2026-28974: Andy Koo (@andykoo) (Hexens)

Storage

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28996: Alex Radocea

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2026-43660: Cantina

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28907: Cantina

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43658: Do Young Park

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimni istraživač u sudarnji s inicijativom Zero Day (TrendAI), Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac i Kookhwan Lee u suradnji s inicijativom Zero Day Initiative (TrendAI)

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) (Talence Security), Nathaniel Oh (@calysteon)

CVE-2026-28901: istraživački tim za AISLE Offensive Security (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

CVE-2026-28913: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28917: Vitaly Simonovich

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr i Nicholas Carlini (Claude, Anthropic)

Wi-Fi

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač na povlaštenom mrežnom položaju mogao bi izvršiti napad uskraćivanja usluge upotrebom zlonamjernih Wi-Fi paketa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28994: Alex Radocea

zlib

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Dodatna zahvala

App Intents

Na pomoći zahvaljujemo Mikaelu Kinnmanu.

Apple Account

Na pomoći zahvaljujemo Ivánu Savranskyju, korisniku YingQi Shi (@Mas0nShi) (laboratorij WeBin, DBAppSecurity).

AuthKit

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

CoreUI

Na pomoći zahvaljujemo Mustafi Calapu.

ICU

Na pomoći zahvaljujemo anonimnom istraživaču.

Kernel

Na pomoći zahvaljujemo Ryanu Hilemanu koji je koristio Xint Code (xint.io), Sureshu Sundaramu i anonimnom istraživaču.

Libnotify

Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).

mDNSResponder

Na pomoći zahvaljujemo Jasonu Groveu.

Messages

Na pomoći zahvaljujemo Jefferyju Kimbrowu.

Siri

Na pomoći zahvaljujemo Yoavu Magidu.

WebKit

Na pomoći zahvaljujemo Vitaliju Simonovichu.