Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26

В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 26.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26

Apple Neural Engine

Целевые продукты: Apple Watch Series 9 и более поздние модели, Apple Watch SE 2-го поколения, Apple Watch Ultra (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43344: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43346: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

Bluetooth

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43354: Csaba Fitzl (@theevilbit) из Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) из Kandji

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43349: @zlluny в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43372: 이동하 (Lee Dong Ha) из SSA Lab

IOHIDFamily

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43302: Keisuke Hosoda

IOKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2025-31255: Csaba Fitzl (@theevilbit) из Kandji

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Сокет сервера UDP, привязанный к локальному интерфейсу, может стать привязанным ко всем интерфейсам.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2025-43355: Dawuge из Shuffle Team

Sandbox

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43329: анонимный исследователь

Spell Check

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-6965

System

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Устранена проблема, связанная с проверкой ввода.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever) и Luke Roberts (@rookuu)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Веб-сайт может получать доступ к данным датчиков без согласия пользователя.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43356: Jaydev Ahire

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43272: Big Bear

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43343: анонимный исследователь

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с правильностью устранена путем улучшения проверок.

CVE-2025-43342: анонимный исследователь

Дополнительные благодарности

Accounts

Выражаем благодарность за помощь пользователю 要乐奈.

AuthKit

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

Calendar

Выражаем благодарность за помощь пользователю Keisuke Chinone (Iroiro).

CFNetwork

Выражаем благодарность за помощь пользователю Christian Kohlschütter.

CloudKit

Выражаем благодарность за помощь пользователю Yinyi Wu (@_3ndy1) из Dawn Security Lab компании JD.com.

darwinOS

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Foundation

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

ImageIO

Выражаем благодарность за помощь пользователям DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat.

Kernel

Выражаем благодарность за помощь пользователям Yepeng Pan и Prof. Dr. Christian Rossow.

libc

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libpthread

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libxml2

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Lockdown Mode

Выражаем благодарность за помощь пользователям Pyrophoria и Ethan Day, kado.

mDNSResponder

Выражаем благодарность за помощь пользователю Barrett Lyon.

MediaRemote

Выражаем благодарность за помощь пользователю Dora Orak.

Sandbox Profiles

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

Transparency

Выражаем благодарность за помощь пользователям Wojciech Regula из SecuRing (wojciechregula.blog) и 要乐奈.

WebKit

Выражаем благодарность за помощь пользователям Bob Lord, Matthew Liang и Mike Cardwell из grepular.com.

Wi-Fi

Выражаем благодарность за помощь пользователям Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) из Kandji, Noah Gregory (wts.dev), Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.