Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26.2

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 26.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26.2

App Store

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получать доступ к конфиденциальным токенам платежей.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46288: floeki, Zhongcheng Li из отдела IES Red компании ByteDance

AppleJPEG

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

curl

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

Foundation

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получать несанкционированный доступ к файлам через API проверки правописания.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Icons

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

Messages

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Multi-Touch

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43533: подразделение Threat Analysis Group компании Google

Screen Time

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к истории Safari пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43538: Iván Savransky

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43531: Phil Pizlo из Epic Games

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43529: подразделение Threat Analysis Group компании Google

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google

WebKit Web Inspector

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)

Дополнительные благодарности

AppleMobileFileIntegrity

Выражаем благодарность за помощь анонимному исследователю.

AppSandbox

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Core Services

Выражаем благодарность за помощь Golden Helm Securities.

Safari

Выражаем благодарность за помощь Mochammad Nosa Shandy Prastyo.

WebKit

Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).