Zawartość związana z zabezpieczeniami w systemie watchOS 26

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 26.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 26

Apple Neural Engine

Dostępne dla: Apple Watch Series 9 i nowszych, Apple Watch SE 2. generacji, Apple Watch Ultra (wszystkich modeli)

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43344: anonimowy badacz

AppleMobileFileIntegrity

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43346: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Bluetooth

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z Kandji

CoreAudio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43349:@zlluny pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43372: 이동하 (Lee Dong Ha) z SSA Lab

IOHIDFamily

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z Kandji

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: gniazdo serwera UDP powiązane z interfejsem lokalnym może stać się powiązane ze wszystkimi interfejsami.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-43355: Dawuge z zespołu Shuffle

Sandbox

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43329: anonimowy badacz

Spell Check

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-6965

System

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43272: Big Bear

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43343: anonimowy badacz

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd poprawności przez poprawienie sprawdzania.

CVE-2025-43342: anonimowy badacz

Dodatkowe podziękowania

Accounts

Dziękujemy za udzieloną pomoc: 要乐奈.

AuthKit

Dziękujemy za udzieloną pomoc: Rosyna Keller z Totally Not Malicious Software.

Calendar

Dziękujemy za udzieloną pomoc: Keisuke Chinone (Iroiro).

CFNetwork

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

CloudKit

Dziękujemy za udzieloną pomoc: Yinyi Wu (@_3ndy1) z Dawn Security Lab of JD.com, Inc.

darwinOS

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Foundation

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

ImageIO

Dziękujemy za udzieloną pomoc: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) w Enki WhiteHat.

Kernel

Dziękujemy za udzieloną pomoc: Yepeng Pan, Prof. Dr. Christian Rossow.

libc

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libpthread

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libxml2

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Lockdown Mode

Dziękujemy za udzieloną pomoc: Pyrophoria i Ethan Day, kado.

mDNSResponder

Dziękujemy za udzieloną pomoc: Barrett Lyon.

MediaRemote

Dziękujemy za udzieloną pomoc: Dora Orak.

Sandbox Profiles

Dziękujemy za udzieloną pomoc: Rosyna Keller z Totally Not Malicious Software.

Transparency

Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog), 要乐奈.

WebKit

Dziękujemy za udzieloną pomoc: Bob Lord, Matthew Liang, Mike Cardwell z grepular.com.

Wi-Fi

Dziękujemy za udzieloną pomoc: Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z Kandji, Noah Gregory (wts.dev), Wojciech Regula z SecuRing (wojciechregula.blog), anonimowy badacz.