watchOS 26.1のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年11月3日リリース
対象:Apple Watch Series 6以降
影響:悪意のあるアプリが、埋め込みビューに表示された機微情報のスクリーンショットを撮影できる可能性がある。
説明:チェックを強化し、プライバシーの問題に対処しました。
CVE-2025-43455:BreakPoint.SHのRon Masas氏、Pinak Oza氏
対象:Apple Watch Series 9以降、Apple Watch SE(第2世代)、Apple Watch Ultra(すべてのモデル)
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43447:匿名の研究者
CVE-2025-43462:匿名の研究者
対象:Apple Watch Series 6以降
影響:アプリが保護されたユーザデータにアクセスできる可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-43379:Gergely Kalman氏(@gergely_kalman)
対象:Apple Watch Series 6以降
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2025-43448:Hikerell氏(Loadshine Lab)
対象:Apple Watch Series 6以降
影響:アプリが、ユーザがインストールしたアプリを特定できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43436:ByteDanceのIES Red TeamのZhongcheng Li氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-43445:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:Apple Watch Series 6以降
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:機微なデータを移動することで、プライバシーの問題に対処しました。
CVE-2025-43507:iisBuri氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたフォントを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2025-43400:Apple
対象:Apple Watch Series 6以降
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-43444:ByteDanceのIES Red TeamのZhongcheng Li氏
対象:Apple Watch Series 6以降
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43398:Cristian Dinca氏(icmd.tech)
対象:Apple Watch Series 6以降
影響:悪意のあるアプリケーションのせいで、複数のプロセスが共有しているメモリが予期せず変更される可能性がある。
説明:ステートチェックを強化し、メモリ破損の脆弱性に対処しました。
CVE-2025-43510:Apple
2025年12月12日に追加
対象:Apple Watch Series 6以降
影響:悪意のあるアプリケーションにシステムを突然終了されたり、カーネルメモリに書き込まれたりする可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2025-43520:Apple
2025年12月12日に追加
対象:Apple Watch Series 6以降
影響:サンドボックス化されたアプリがシステム全体のネットワーク接続を観察できる可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2025-43413:supernetworks.orgのDave G.氏およびAlex Radocea氏
対象:Apple Watch Series 6以降
影響:攻撃者から継続的なサービス運用妨害を受ける可能性がある。
説明:チェックを強化し、メールヘッダ解析の脆弱性に対処しました。
CVE-2025-43494:Zone Media(zone.ee)のTaavi Eomäe氏
2025年12月12日に追加
対象:Apple Watch Series 6以降
影響:「サーバ上の画像を読み込む」設定が無効になっていてもサーバ上のコンテンツが読み込まれる可能性がある。
説明:追加ロジックを追加することで、この問題に対処しました。
CVE-2025-43496:Romain Lebesle氏、Himanshu Bharti氏(@Xpl0itme、カティマ)
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:環境変数の処理に脆弱性がありました。検証を強化し、この脆弱性に対処しました。
CVE-2025-43294:Gergely Kalman氏(@gergely_kalman)
対象:Apple Watch Series 6以降
影響:ロックされているApple Watchに物理的にアクセスできる攻撃者がライブ留守番電話を表示できる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2025-43459:Dalibor Milanovic氏
対象:Apple Watch Series 6以降
影響:悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。
CVE-2025-43503:@RenwaX23氏
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ユーザの環境設定の処理を改善することで、プライバシーの問題に対処しました。
CVE-2025-43500:Stanislav Jelezoglo氏
対象:Apple Watch Series 6以降
影響:悪意のあるWebサイトに、データをクロスオリジンで取得される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:276208
CVE-2025-43480:Aleksejs Popovs氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:296693
CVE-2025-43458:Phil Beauvoir氏
WebKit Bugzilla:298196
CVE-2025-43430:Google Big Sleep
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
WebKit Bugzilla:299843
CVE-2025-43443:匿名の研究者
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
WebKit Bugzilla:298126
CVE-2025-43440:Nan Wang氏(@eternalsakura13)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:297662
CVE-2025-43438:rheza氏(@ginggilBesel)、Trend Micro Zero Day Initiativeに協力するshandikri氏
WebKit Bugzilla:298606
CVE-2025-43457:Gary Kwong氏、Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
WebKit Bugzilla:297958
CVE-2025-43434:Google Big Sleep
2025年12月12日に更新
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:299391
CVE-2025-43435:GoogleのJustin Cohen氏
WebKit Bugzilla:298851
CVE-2025-43425:匿名の研究者
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:298093
CVE-2025-43433:Google Big Sleep
WebKit Bugzilla:298194
CVE-2025-43431:Google Big Sleep
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:299313
CVE-2025-43432:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
WebKit Bugzilla:298232
CVE-2025-43429:Google Big Sleep
対象:Apple Watch Series 6以降
影響:Webサイトに、画像データをクロスオリジンで取得される可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
WebKit Bugzilla:297566
CVE-2025-43392:Tom Van Goethem氏
匿名の研究者のご協力に感謝いたします。
Bubble Zhang氏のご協力に感謝いたします。
Barath Stalin K氏、Syarif Muhammad Sajjad氏のご協力に感謝いたします。
2025年12月12日に更新
BanKai氏、Benjamin Hornbeck氏、ZUSO ARTおよびtaikosoupのChi Yuan Chang氏、Ryan May氏、Andrew James Gonzalez氏、匿名の研究者のご協力に感謝いたします。
Enis Maholli氏(enismaholli.com)およびGoogle Big Sleepのご協力に感謝いたします。