Zawartość związana z zabezpieczeniami w systemie watchOS 26.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 26.1.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 26.1
Wydano 3 listopada 2025 r.
Apple Account
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: złośliwa aplikacja może być w stanie wykonać zrzut ekranu poufnych informacji w osadzonych widokach.
Opis: naprawiono błąd prywatności przez poprawienie procedur sprawdzania.
CVE-2025-43455: Ron Masas z BreakPoint.SH, Pinak Oza
Apple Neural Engine
Dostępne dla: Apple Watch Series 9 i nowszych, Apple Watch SE 2. generacji, Apple Watch Ultra (wszystkich modeli)
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-43447: anonimowy badacz
CVE-2025-43462: anonimowy badacz
AppleMobileFileIntegrity
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
CloudKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2025-43436: Zhongcheng Li z IES Red Team w ByteDance
CoreText
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-43445: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
Find My
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: rozwiązano błąd prywatności przez przeniesienie poufnych danych.
CVE-2025-43507: iisBuri
FontParser
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej czcionki może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-43400: Apple
Installer
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2025-43444: Zhongcheng Li z IES Red Team w ByteDance
Kernel
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja działająca w piaskownicy może być w stanie obserwować połączenia sieciowe w całym systemie.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2025-43413: Dave G. i Alex Radocea z supernetworks.org
Mail Drafts
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: zawartość zdalna może zostać wczytana, nawet gdy ustawienie „Pobieraj obrazy zdalne” jest wyłączone.
Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme z Khatima
MallocStackLogging
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Phone
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego Apple Watch może być w stanie przeglądać Pocztę głosową na żywo.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2025-43459: Dalibor Milanovic
Safari
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2025-43503: @RenwaX23
Sandbox Profiles
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi preferencji użytkownika.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
WebKit Bugzilla: 299843
CVE-2025-43443: anonimowy badacz
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri w ramach programu Zero Day Initiative firmy Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen z Google
WebKit Bugzilla: 298851
CVE-2025-43425: anonimowy badacz
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit Canvas
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: witryna internetowa może wykradać dane obrazów między różnymi źródłami.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Dodatkowe podziękowania
Dziękujemy anonimowemu badaczowi za pomoc.
MobileInstallation
Dziękujemy za udzieloną pomoc: Bubble Zhang.
Safari
Dziękujemy za udzieloną pomoc: Barath Stalin K.
Shortcuts
Dziękujemy za udzieloną pomoc: BanKai, Benjamin Hornbeck, Chi Yuan Chang z ZUSO ART oraz taikosoup, Ryan May, Andrew James Gonzalez, anonimowy badacz.
WebKit
Dziękujemy za udzieloną pomoc: Enis Maholli (enismaholli.com), Google Big Sleep.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.