A watchOS 26.1 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 26.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 26.1

Apple Account

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás képernyőképet tudott készíteni bizalmas adatokról a beágyazott nézetekben

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2025-43455: Ron Masas of BreakPoint.SH, Pinak Oza

Apple Neural Engine

A következőhöz érhető el: Apple Watch Series 9 és újabb, 2. generációs Apple Watch SE, Apple Watch Ultra (összes modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43447: anonim kutató

CVE-2025-43462: anonim kutató

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43436: Zhongcheng Li, IES Red Team, ByteDance

CoreText

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43445: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

Find My

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2025-43507: iisBuri

FontParser

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2025-43400: Apple

Installer

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43444: Zhongcheng Li, IES Red Team, ByteDance

Kernel

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A tesztkörnyezetben futó appok bizonyos esetekben meg tudták figyelni a rendszerszintű kapcsolatokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43413: Dave G. és Alex Radocea, supernetworks.org

Mail Drafts

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Akkor is be lehetett tölteni távoli tartalmakat, ha a „Távoli képek betöltése” beállítás ki volt kapcsolva

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima

MallocStackLogging

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A zárolt Apple Watchhoz fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni az Élő hangpostát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-43459: Dalibor Milanovic

Safari

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-43503: @RenwaX23

Sandbox Profiles

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43480: Aleksejs Popovs

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43443: anonim kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43438: shandikri a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43435: Justin Cohen, Google

CVE-2025-43425: anonim kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43432: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek

Érintett terület: A webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43392: Tom Van Goethem

További köszönetnyilvánítás

Mail

Köszönjük egy anonim kutató segítségét.

MobileInstallation

Köszönjük Bubble Zhang segítségét.

Safari

Köszönjük Barath Stalin K segítségét.

Shortcuts

Köszönjük BanKai, Benjamin Hornbeck, Chi Yuan Chang (ZUSO ART), taikosoup, Ryan May, Andrew James Gonzalez és egy anonim kutató segítségét.

WebKit

Köszönjük Enis Maholli (enismaholli.com) és Google Big Sleep segítségét.