Zawartość związana z zabezpieczeniami w systemie watchOS 26.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 26.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 26.5

Accelerate

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28988: Asaf Cohen

APFS

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28959: Dave G.

App Intents

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: Złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) z Reverse Society

AppleJPEG

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2026-1837

AppleJPEG

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: Przetworzenie strumienia audio w złośliwie spreparowanym pliku multimedialnym może spowodować zakończenie procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-39869: David Ige z Beryllium Security

CoreSymbolication

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analizowanie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28918: Niels Hofmans, anonimowy użytkownik w ramach programu Zero Day Initiative firmy TrendAI

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2026-43661: Anonimowy badacz

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do uszkodzenia pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28943: Threat Analysis Group firmy Google

IOKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-43655: Somair Ansar i anonimowy badacz

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd., Ryan Hileman przez Xint Code (xint.io)

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) z Talence Security, Ryan Hileman przez Xint Code (xint.io)

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: Osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-28846: Peter Malone

Spotlight

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.

CVE-2026-28974: Andy Koo (@andykoo) z Hexens

Storage

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2026-28996: Alex Radocea

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2026-43660: Cantina

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28907: Cantina

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-43658: Do Young Park

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimowy użytkownik w ramach programu Zero Day Initiative firmy TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac i Kookhwan Lee w ramach programu Zero Day Initiative firmy TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) z Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Zespół badawczy ds. ofensywnego bezpieczeństwa Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen z Calif.io.

CVE-2026-28913: Anonimowy badacz

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28917: Vitaly Simonovich

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr i Nicholas Carlini z Claude, Anthropic

Wi-Fi

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: Atakująca osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” z użyciem spreparowanych pakietów Wi-Fi.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-28994: Alex Radocea

zlib

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: wyciek informacji został rozwiązany poprzez wprowadzenie dodatkowej weryfikacji.

CVE-2026-28920: Brendon Tiszka z Google Project Zero

Dodatkowe podziękowania

App Intents

Dziękujemy za udzieloną pomoc: Mikael Kinnman.

Apple Account

Dziękujemy za udzieloną pomoc: Iván Savransky, YingQi Shi (@Mas0nShi) z laboratorium WeBin firmy DBAppSecurity.

AuthKit

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

CoreUI

Dziękujemy za udzieloną pomoc: Mustafa Calap.

ICU

Dziękujemy anonimowemu badaczowi za pomoc.

Kernel

Dziękujemy za udzieloną pomoc: Ryan Hileman przez Xint Code (xint.io), Suresh Sundaram, anonimowy badacz.

Libnotify

Dziękujemy za udzieloną pomoc: Ilias Morad (@A2nkF_).

mDNSResponder

Dziękujemy za udzieloną pomoc: Jason Grove.

Messages

Dziękujemy za udzieloną pomoc: Jeffery Kimbrow.

Siri

Dziękujemy za udzieloną pomoc: Yoav Magid.

WebKit

Dziękujemy za udzieloną pomoc: Vitaly Simonovich.