Sobre o conteúdo de segurança do watchOS 26.1
Este documento descreve o conteúdo de segurança do watchOS 26.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para mais informações sobre segurança, consulte a página Segurança do produto Apple.
watchOS 26.1
Lançamento: 3 de novembro de 2025
Apple Account
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app malicioso pode conseguir fazer uma captura de tela de informações confidenciais em visualizações incorporadas
Descrição: um problema na privacidade foi resolvido por meio de melhorias nas verificações.
CVE-2025-43455: Ron Masas do BreakPoint.SH, Pinak Oza
Apple Neural Engine
Disponível para: Apple Watch Series 9 e posterior, Apple Watch SE 2ª geração, Apple Watch Ultra (todos os modelos)
Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43447: pesquisador anônimo
CVE-2025-43462: pesquisador anônimo
AppleMobileFileIntegrity
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
CloudKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode enumerar os apps instalados de um usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-43436: Zhongcheng Li da IES Red Team da ByteDance
CoreText
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-43445: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Find My
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: um problema de privacidade foi resolvido com a transferência de dados confidenciais.
CVE-2025-43507: iisBuri
FontParser
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de uma fonte criada com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-43400: Apple
Installer
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-43444: Zhongcheng Li da IES Red Team da ByteDance
Kernel
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app em área restrita pode observar conexões de rede em todo o sistema
Descrição: um problema de acesso foi resolvido por meio de outras restrições.
CVE-2025-43413: Dave G. e Alex Radocea da supernetworks.org
Mail Drafts
Disponível para: Apple Watch Series 6 e posterior
Impacto: o conteúdo remoto poderá ser carregado mesmo quando o ajuste "Carregar Imagens" estiver desativado
Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme da Khatima
MallocStackLogging
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: havia um problema na análise de variáveis do ambiente. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Phone
Disponível para: Apple Watch Series 6 e posterior
Impacto: um invasor com acesso físico a um Apple Watch bloqueado pode ser capaz de visualizar o Correio de Voz ao Vivo
Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-43459: Dalibor Milanovic
Safari
Disponível para: Apple Watch Series 6 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-43503: @RenwaX23
Sandbox Profiles
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento das preferências do usuário.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 299843
CVE-2025-43443: pesquisador anônimo
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias nas verificações
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri em parceria com a Zero Day Initiative da Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen do Google
WebKit Bugzilla: 298851
CVE-2025-43425: pesquisador anônimo
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit Canvas
Disponível para: Apple Watch Series 6 e posterior
Impacto: um site poderia extrair dados de imagem de origem cruzada
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Outros reconhecimentos
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
MobileInstallation
Gostaríamos de agradecer a Bubble Zhang pela ajuda.
Safari
Gostaríamos de agradecer a Barath Stalin K pela ajuda.
Shortcuts
Gostaríamos de agradecer a BanKai, Benjamin Hornbeck, Chi Yuan Chang da ZUSO ART e taikosoup, Ryan May, Andrew James Gonzalez e um pesquisador anônimo pela ajuda.
WebKit
Gostaríamos de agradecer a Enis Maholli (enismaholli.com), Google Big Sleep pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.