Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26.3

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 26.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26.3

Bluetooth

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить атаку типа «отказ в обслуживании» с помощью собственноручно созданных пакетов Bluetooth.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2026-20650: jioundai

CoreAudio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-20611: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) из Iru

CoreServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.

CVE-2026-20627: анонимный исследователь

dyld

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник с возможностью записи в память может выполнять произвольный код. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также были опубликованы уязвимости CVE-2025-14174 и CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2026-20700: подразделение Threat Analysis Group компании Google

Game Center

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-20649: Asaf Cohen

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может приводить к раскрытию данных пользователя.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2026-20675: George Karchemsky (@gkarchemsky), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20634: George Karchemsky (@gkarchemsky), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-59375

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2026-20667: анонимный исследователь

Sandbox

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с конфиденциальностью устранена путем улучшения проверок.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20635: EntryHi

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь Tommaso Sacchetti.

Kernel

Выражаем благодарность за помощь Joseph Ravichandran (@0xjprx) из MIT CSAIL и Xinru Chi из Pangu Lab.

libpthread

Выражаем благодарность за помощь Fabiano Anemone.

NetworkExtension

Выражаем благодарность за помощь Gongyu Ma (@Mezone0).

Transparency

Выражаем благодарность за помощь Wojciech Regula из SecuRing (wojciechregula.blog).

Wallet

Выражаем благодарность за помощь Lorenzo Santina (@BigNerd95) и Marco Bartoli (@wsxarcher).

WebKit

Выражаем благодарность за помощь EntryHi, Luigino Camastra из Aisle Research, Stanislav Fort из Aisle Research, Vsevolod Kokorin (Slonser) из Solidlabи Jorian Woltjer.