Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 26.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26.1

Apple Account

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может сделать снимок экрана с конфиденциальной информацией во встроенных окнах просмотра.

Описание. Проблема с конфиденциальностью устранена путем улучшения проверок.

CVE-2025-43455: Ron Masas из BreakPoint.SH, Pinak Oza

Apple Neural Engine

Целевые продукты: Apple Watch Series 9 и более поздние модели, Apple Watch SE 2-го поколения, Apple Watch Ultra (все модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43447: анонимный исследователь

CVE-2025-43462: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43448: Hikerell (из Loadshine Lab)

CoreServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43436: Zhongcheng Li из отдела IES Red компании ByteDance

CoreText

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43445: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Find My

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема конфиденциальности устранена путем переноса важных данных.

CVE-2025-43507: iisBuri

FontParser

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43400: Apple

Installer

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносная программа может вызывать непредвиденные изменения в общей памяти, задействованной в нескольких процессах.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки состояния блокировки.

CVE-2025-43510: Apple

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2025-43520: Apple

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение в изолированной среде может просматривать общесистемные сетевые подключения.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-43413: Dave G. и Alex Radocea из supernetworks.org

Mail

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может вызывать постоянный отказ в обслуживании.

Описание. Проблема с анализом заголовков почты устранена путем улучшения проверок.

CVE-2025-43494: Taavi Eomäe из Zone Media (zone.ee)

Mail Drafts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Контент из удаленных источников может загружаться, даже когда отключен параметр «Загружать внешние изображения».

Описание. Проблема устранена путем добавления дополнительной логики.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme из Khatima

MallocStackLogging

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий физический доступ к разблокированным Apple Watch, может просматривать записи функции «Текст автоответчика в эфире».

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2025-43459: Dalibor Milanovic

Safari

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-43503: @RenwaX23

Sandbox Profiles

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшенной обработки пользовательских настроек.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43480: Aleksejs Popovs

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-43443: анонимный исследователь

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43438: rheza (@ginggilBesel), shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43435: Justin Cohen из Google

CVE-2025-43425: анонимный исследователь

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43432: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Веб-сайт может извлекать данные изображений из различных источников.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43392: Tom Van Goethem

Дополнительные благодарности

Mail

Выражаем благодарность за помощь анонимному исследователю.

MobileInstallation

Благодарим за помощь Bubble Zhang.

Safari

Выражаем благодарность за помощь пользователям Barath Stalin K и Syarif Muhammad Sajjad.

Shortcuts

Выражаем благодарность за помощь BanKai, Benjamin Hornbeck, Chi Yuan Chang из ZUSO ART и taikosoup, Ryan May, Andrew James Gonzalez, а также анонимному исследователю.

WebKit

Выражаем благодарность за помощь Enis Maholli (enismaholli.com) и отделу Google Big Sleep.