Over de beveiligingsinhoud van watchOS 26

In dit document wordt de beveiligingsinhoud van watchOS 26 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 26

Apple Neural Engine

Beschikbaar voor: Apple Watch Series 9 en later, Apple Watch SE 2e generatie, Apple Watch Ultra (alle modellen).

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43344: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43346: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Bluetooth

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43354: Csaba Fitzl (@theevilbit) van Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) van Kandji

CoreAudio

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-43349: @zlluny samenwerkend met het Trend Micro Zero Day Initiative.

CoreMedia

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43372: 이동하 (Lee Dong Ha) van het SSA Lab

IOHIDFamily

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43302: Keisuke Hosoda

IOKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-31255: Csaba Fitzl (@theevilbit) van Kandji

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: Een UDP-server socket die aan een lokale interface is gebonden, kan aan alle interfaces worden gebonden.

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43355: Dawuge van Shuffle Team

Sandbox

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43329: een anonieme onderzoeker

Spell Check

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6965

System

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een website heeft mogelijk toegang tot sensorinformatie zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43272: Big Bear

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43343: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-43342: een anonieme onderzoeker

Aanvullende erkenning

Accounts

Met dank aan 要乐奈 voor de hulp.

AuthKit

We willen Rosyna Keller van Totally Not Malicious Software bedanken voor hun hulp.

Calendar

We willen Keisuke Chinone (Iroiro) bedanken voor hun hulp.

CFNetwork

Met dank aan Christian Kohlschütter voor de hulp.

CloudKit

We willen Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc bedanken voor hun hulp.

darwinOS

We willen Nathaniel Oh (@calysteon) bedanken voor zijn hulp.

Foundation

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

ImageIO

We willen DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) van Enki WhiteHat bedanken voor hun hulp.

Kernel

We willen Yepeng Pan en Prof. Dr. Christian Rossow bedanken voor hun hulp.

libc

We willen Nathaniel Oh (@calysteon) bedanken voor zijn hulp.

libpthread

We willen Nathaniel Oh (@calysteon) bedanken voor zijn hulp.

libxml2

We willen Nathaniel Oh (@calysteon) bedanken voor zijn hulp.

Lockdown Mode

We willen Pyrophoria en Ethan Day, kado bedanken voor hun hulp.

mDNSResponder

We willen Barrett Lyon bedanken voor zijn hulp.

MediaRemote

We willen Dora Orak bedanken voor haar hulp.

Sandbox Profiles

We willen Rosyna Keller van Totally Not Malicious Software bedanken voor hun hulp.

Transparency

We willen Wojciech Regula van SecuRing (wojciechregula.blog) en 要乐奈 bedanken voor hun hulp.

WebKit

We willen Bob Lord, Matthew Liang en Mike Cardwell van grepular.com bedanken voor hun hulp.

Wi-Fi

We willen Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) van Kandji, Noah Gregory (wts.dev), Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker bedanken voor hun hulp.