Despre conținutul de securitate din watchOS 26.5
Acest document descrie conținutul de securitate din watchOS 26.5.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
watchOS 26.5
Lansare: 11 mai 2026
Accelerate
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2026-28988: Asaf Cohen
APFS
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2026-28959: Dave G.
App Intents
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație rău-intenționată poate evada din sandbox
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pentru Reverse Society
AppleJPEG
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.
CVE-2026-1837
AppleJPEG
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2026-28956: impost0r (ret2plt)
Audio
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unui flux audio într-un fișier media creat cu rea intenție poate duce la încetarea procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-39869: David Ige de la Beryllium Security
CoreSymbolication
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: Analizarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-28918: Niels Hofmans, anonim în colaborare cu TrendAI Zero Day Initiative
ImageIO
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2026-43661: un cercetător anonim
ImageIO
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2026-28977: Suresh Sundaram
ImageIO
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator ar putea cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOHIDFamily
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate determina aspectul memoriei kernel
Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.
CVE-2026-28943: Google Threat Analysis Group
IOKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
IOSurfaceAccelerator
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate citi memoria kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-43655: Somair Ansar și un cercetător anonim
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memorie tampon alocate prin îmbunătățirea validării intrării.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2026-28972: Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de la Talence Security, Ryan Hileman via Xint Code (xint.io)
Kernel
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.
CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)
LaunchServices
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-43666: Ian van der Wurff (ian.nl)
SceneKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a aplicației
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2026-28846: Peter Malone
Spotlight
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2026-28974: Andy Koo (@andykoo) de la Hexens
Storage
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2026-28996: Alex Radocea
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonim în colaborare cu TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac și Kookhwan Lee în colaborare cu TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) de la Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Echipa de cercetare a securității ofensive Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern și Guido Vranken), Maher Azzouzi, Ngan Nguyen de la Calif.io
WebKit Bugzilla: 311631
CVE-2026-28913: un cercetător anonim
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebKit
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr și Nicholas Carlini cu Claude, Anthropic
Wi-Fi
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: un atacator dintr-o poziție privilegiată în rețea ar putea să efectueze un atac de refuzare a serviciului folosind pachete Wi-Fi create cu rea intenție
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2026-28994: Alex Radocea
zlib
Disponibilitate: Apple Watch Series 6 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile
Descriere: o scurgere de informații a fost remediată prin validare suplimentare.
CVE-2026-28920: Brendon Tiszka de la Google Project Zero
Alte mențiuni
App Intents
Dorim să îi mulțumim lui Mikael Kinnman pentru asistența acordată.
Apple Account
Dorim să îi mulțumim lui Iván Savransky, lui YingQi Shi (@Mas0nShi) de la WeBin lab DBAppSecurity pentru asistența acordată.
AuthKit
Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.
CoreUI
Dorim să îi mulțumim lui Mustafa Calap pentru asistența acordată.
ICU
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Kernel
Dorim să îi mulțumim lui Ryan Hileman via Xint Code (xint.io), lui Suresh Sundaram, unui cercetător anonim pentru asistența acordată.
Libnotify
Dorim să îi mulțumim lui Ilias Morad (@A2nkF_) pentru asistența acordată.
mDNSResponder
Dorim să îi mulțumim lui Jason Grove pentru asistența acordată.
Messages
Dorim să îi mulțumim lui Jeffery Kimbrow pentru asistența acordată.
Siri
Dorim să îi mulțumim lui Yoav Magid pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Vitaly Simonovich pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.