Despre conținutul de securitate din watchOS 26

Acest document descrie conținutul de securitate din watchOS 26.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

watchOS 26

Apple Neural Engine

Disponibilitate pentru: Apple Watch Series 9 și modelele ulterioare, Apple Watch SE (a 2-a generație), Apple Watch Ultra (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43344: un cercetător anonim

AppleMobileFileIntegrity

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43346: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Bluetooth

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-43354: Csaba Fitzl (@theevilbit) de la Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) de la Kandji

CoreAudio

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2025-43349: @zlluny în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2025-43372: 이동하 (Lee Dong Ha) de la SSA Lab

IOHIDFamily

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de la Kandji

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un socket de server UDP legat la o interfață locală poate deveni legat la toate interfețele

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2025-43355: Dawuge de la Shuffle Team

Sandbox

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43329: un cercetător anonim

Spell Check

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier poate cauza coruperea memoriei

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-6965

System

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web poate accesa informații de la senzor fără consimțământul utilizatorului

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2025-43356: Jaydev Ahire

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43272: Big Bear

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43343: un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43342: un cercetător anonim

Alte mențiuni

Accounts

Dorim să-i mulțumim lui 要乐奈 pentru asistența acordată.

AuthKit

Dorim să-i mulțumim lui Rosyna Keller de la Totally Not Malicious Software pentru asistența acordată.

Calendar

Dorim să-i mulțumim lui Keisuke Chinone (Iroiro) pentru asistența acordată.

CFNetwork

Dorim să îi mulțumim lui Christian Kohlschütter pentru asistența acordată.

CloudKit

Dorim să-i mulțumim lui Yinyi Wu (@_3ndy1) de la Dawn Security Lab of JD.com, Inc pentru asistența acordată.

darwinOS

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

Foundation

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) de la Kandji pentru asistență.

ImageIO

Dorim să le mulțumim lui DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) de la Enki WhiteHat pentru asistența acordată.

Kernel

Dorim să le mulțumim lui Yepeng Pan și Prof. Dr. Christian Rossow pentru asistența acordată.

libc

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

libpthread

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

libxml2

Dorim să-i mulțumim lui Nathaniel Oh (@calysteon) pentru asistența acordată.

Lockdown Mode

Dorim să le mulțumim lui Pyrophoria și Ethan Day de la kado pentru asistența acordată.

mDNSResponder

Dorim să-i mulțumim lui Barrett Lyon pentru asistența acordată.

MediaRemote

Dorim să-i mulțumim lui Dora Orak pentru asistența acordată.

Sandbox Profiles

Dorim să-i mulțumim lui Rosyna Keller de la Totally Not Malicious Software pentru asistența acordată.

Transparency

Dorim să le mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) și lui 要乐奈 pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Bob Lord, Matthew Liang și Mike Cardwell de la grepular.com pentru asistența acordată.

Wi-Fi

Dorim să le mulțumim lui Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) de la Kandji, Noah Gregory (wts.dev), Wojciech Regula de la SecuRing (wojciechregula.blog) și unui cercetător anonim pentru asistența acordată.