Despre conținutul de securitate din watchOS 26.1

Acest document descrie conținutul de securitate din watchOS 26.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

watchOS 26.1

Apple Account

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație creată cu rea intenție poate face capturi de ecran ale informațiilor confidențiale din vizualizările încorporate

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-43455: Ron Masas de la BreakPoint.SH, Pinak Oza

Apple Neural Engine

Disponibilitate pentru: Apple Watch Series 9 și modelele ulterioare, Apple Watch SE (a 2-a generație), Apple Watch Ultra (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43447: un cercetător anonim

CVE-2025-43462: un cercetător anonim

AppleMobileFileIntegrity

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43436: Zhongcheng Li din cadrul IES Red Team de la ByteDance

CoreText

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-43445: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Find My

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile.

CVE-2025-43507: iisBuri

FontParser

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei procesului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43400: Apple

Installer

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-43444: Zhongcheng Li din cadrul IES Red Team de la ByteDance

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație din sandbox poate observa conexiuni de rețea la nivelul întregului sistem

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2025-43413: Dave G. și Alex Radocea de la supernetworks.org

Mail Drafts

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: conținut extern poate fi încărcat chiar și atunci când configurarea „Încărcare imagini externe” este oprită

Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de la Khatima

MallocStackLogging

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a existat o problemă la tratarea variabilelor de mediu. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator cu acces fizic la un Apple Watch blocat poate vedea mesajele vocale live

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2025-43459: Dalibor Milanovic

Safari

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2025-43503: @RenwaX23

Sandbox Profiles

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a preferințelor utilizatorului.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-43480: Aleksejs Popovs

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-43443: un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-43438: shandikri în colaborare cu Trend Micro Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43435: Justin Cohen de la Google

CVE-2025-43425: un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-43432: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web poate exfiltra date de imagini între origini diferite

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2025-43392: Tom Van Goethem

Alte mențiuni

Mail

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

MobileInstallation

Dorim să-i mulțumim lui Bubble Zhang pentru asistența acordată.

Safari

Dorim să-i mulțumim lui Barath Stalin K pentru asistența acordată.

Shortcuts

Dorim să le mulțumim lui BanKai, Benjamin Hornbeck, Chi Yuan Chang de la ZUSO ART și taikosoup, Ryan May, Andrew James Gonzalez și unui cercetător anonim pentru asistența acordată.

WebKit

Dorim să-i mulțumim lui Enis Maholli (enismaholli.com) de la Google Big Sleep pentru asistența acordată.