Over de beveiligingsinhoud van watchOS 26.1
In dit document wordt de beveiligingsinhoud van watchOS 26.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 26.1
Gepubliceerd op 3 november 2025
Apple Account
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een schadelijke app kan in staat zijn om een screenshot te maken van gevoelige informatie in ingesolten weergave
Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.
CVE-2025-43455: Ron Masas of BreakPoint.SH, Pinak Oza
Apple Neural Engine
Beschikbaar voor: Apple Watch Series 9 en later, Apple Watch SE 2e generatie, Apple Watch Ultra (alle modellen).
Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43447: een anonieme onderzoeker
CVE-2025-43462: een anonieme onderzoeker
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
CloudKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-43436: Zhongcheng Li van IES Red Team van ByteDance
CoreText
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2025-43445: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
Find My
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: er is een privacyprobleem verholpen door gevoelige gegevens te verplaatsen.
CVE-2025-43507: iisBuri
FontParser
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2025-43400: Apple
Installer
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-43444: Zhongcheng Li van IES Red Team van ByteDance
Kernel
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2025-43413: Dave G. and Alex Radocea van supernetworks.org
Mail Drafts
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: Content op afstand kan worden geladen, zelfs als de instelling 'Afbeeldingen op afstand laden' is uitgeschakeld
Beschrijving: dit probleem is verholpen door extra logica toe te voegen.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme van Khatima
MallocStackLogging
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er was een probleem bij de verwerking van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Phone
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een aanvaller met fysieke toegang tot een vergrendelde Apple Watch kan in staat zijn om Live Voicemail te bekijken
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2025-43459: Dalibor Milanovic
Safari
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2025-43503: @RenwaX23
Sandbox Profiles
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er is een privacyprobleem verholpen door verbeterde verwerking van gebruikersvoorkeuren.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een schadelijke website kan gegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 299843
CVE-2025-43443: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterde controles
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri in samenwerking met het Zero Day Initiative van Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) van het Trend Micro Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen van Google
WebKit Bugzilla: 298851
CVE-2025-43425: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit Canvas
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een website kan afbeeldingsgegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Aanvullende erkenning
Met dank aan een anonieme onderzoeker voor de hulp.
MobileInstallation
Met dank aan Bubble Zhang voor de hulp.
Safari
Met dank aan Barath Stalin K voor de hulp.
Shortcuts
Met dank aan BanKai, Benjamin Hornbeck, Chi Yuan Chang van ZUSO ART en taikosoup, Ryan May, Andrew James Gonzalez, een anonieme onderzoeker voor de hulp.
WebKit
Met dank aan Enis Maholli (enismaholli.com), Google Big Sleep voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.