watchOS 26.2のセキュリティコンテンツについて

watchOS 26.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

watchOS 26.2

App Store

対象：Apple Watch Series 6以降

影響：機密性の高い決済用トークンにアプリがアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-46288：floeki氏、ByteDanceのIES Red TeamのZhongcheng Li氏

AppleJPEG

対象：Apple Watch Series 6以降

影響：ファイルを処理すると、メモリが破損する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2025-43539：Michael Reeves氏（@IntegralPilot）

Calling Framework

対象：Apple Watch Series 6以降

影響：攻撃者がFaceTimeの発信者番号を装える可能性がある。

説明：ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。

CVE-2025-46287：匿名の研究者、Riley Walz氏

curl

対象：Apple Watch Series 6以降

影響：curlに複数の脆弱性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2024-7264

CVE-2025-9086

Foundation

対象：Apple Watch Series 6以降

影響：スペルチェック用APIを通じて、アプリが本来アクセス権のないファイルに不適切にアクセスできてしまう可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2025-43518：Noah Gregory氏（wts.dev）

Foundation

対象：Apple Watch Series 6以降

影響：悪意のあるデータを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、メモリ破損の脆弱性に対処しました。

CVE-2025-43532：Meta Product SecurityのAndrew Calvano氏およびLucas Pinheiro氏

Icons

対象：Apple Watch Series 6以降

影響：アプリが、ユーザがインストール済みのほかのアプリを特定できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-46279：Duy Trần氏（@khanhduytran0）

Kernel

対象：Apple Watch Series 6以降

影響：アプリがルート権限を取得できる可能性がある。

説明：64ビットタイムスタンプを採用することで、整数オーバーフローに対処しました。

CVE-2025-46285：Alibaba GroupのKaitao Xie氏およびXiaolong Bai氏

Messages

対象：Apple Watch Series 6以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。

CVE-2025-46276：Totally Not Malicious SoftwareのRosyna Keller氏

Multi-Touch

対象：Apple Watch Series 6以降

影響：悪意のあるHIDデバイスによって、プロセスが予期せずクラッシュさせられる可能性がある。

説明：入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2025-43533：Google Threat Analysis Group

Screen Time

対象：Apple Watch Series 6以降

影響：アプリがユーザのSafariの履歴にアクセスできる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2025-46277：Kirin氏（@Pwnrin）

Screen Time

対象：Apple Watch Series 6以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2025-43538：Iván Savransky氏

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2025-43531：Epic GamesのPhil Pizlo氏

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。Appleは、iOS 26以前のバージョンで、標的となったiOS上の特定の個人に対するきわめて巧妙な攻撃によりこの脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-14174もまた、この報告を受けて発行されました。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43529：Google Threat Analysis Group

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。Appleは、iOS 26以前のバージョンで、標的となったiOS上の特定の個人に対するきわめて巧妙な攻撃によりこの脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-43529もまた、この報告を受けて発行されました。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2025-14174：AppleおよびGoogleのThreat Analysis Group

WebKit Web Inspector

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43511：이동하（BoB 14thのLee Dong Ha氏）

ご協力いただいたその他の方々

AppleMobileFileIntegrity

匿名の研究者のご協力に感謝いたします。

AppSandbox

Mickey Jin氏（@patch1t）のご協力に感謝いたします。

Core Services

Golden Helm Securitiesのご協力に感謝いたします。

Safari

Mochammad Nosa Shandy Prastyo氏のご協力に感謝いたします。

WebKit

Geva Nurgandi Syahputra氏（gevakun）のご協力に感謝いたします。