Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26.4

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 26.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26.4

802.1X

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2026-28865: Héloïse Gollier и Mathy Vanhoef (KU Leuven)

Accounts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-28877: Rosyna Keller из Totally Not Malicious Software

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28879: Justin Cohen из Google

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2026-28822: Jex Amro

CoreMedia

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-20690: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreUtils

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2026-28886: Etienne Charron (Renault) и Victoria Martini (Renault)

Crash Reporter

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2026-28878: Zhongcheng Li из отдела IES Red

curl

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обнаружена проблема в curl, которая может привести к случайной отправке конфиденциальных данных по неправильному подключению.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-14524

GeoServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28870: XiguaSec

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-64505

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28868: 이동하 (Lee Dong Ha из BoB 0xB6)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена с помощью улучшенной аутентификации.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2026-28882: Ilias Morad (A2nkF) из Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Локальный злоумышленник может получить доступ к объектам связки ключей пользователя.

Описание. Проблема устранена путем улучшения проверки разрешений.

CVE-2026-28864: Alex Radocea

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема устранена путем улучшения аутентификации.

CVE-2026-28856: анонимный исследователь

UIFoundation

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Переполнение стека устранено путем улучшенной проверки ввода.

CVE-2026-28852: Caspian Tarafdar

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-20665: webb

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может обрабатывать онлайн-контент с ограниченным доступом за границами песочницы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Дополнительные благодарности

AirPort

Выражаем благодарность за помощь Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Выражаем благодарность за помощь Hamid Mahmoud.

Captive Network

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).

CloudAttestation

Выражаем благодарность за помощь Suresh Sundaram и Willard Jansen.

CoreUI

Выражаем благодарность за помощь Peter Malone.

Find My

Выражаем благодарность за помощь Salemdomain.

GPU Drivers

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

ICU

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

Kernel

Выражаем благодарность за помощь DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville из Fuzzinglabs, Patrick Ventuzelo из Fuzzinglabs, Robert Tran, Suresh Sundaram.

libarchive

Выражаем благодарность за помощь Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs, Arni Hardarson.

libc

Выражаем благодарность за помощь Vitaly Simonovich.

Libnotify

Выражаем благодарность за помощь Ilias Morad (@A2nkF_).

LLVM

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Messages

Выражаем благодарность за помощь JZ.

MobileInstallation

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

ppp

Выражаем благодарность за помощь Dave G.

Quick Look

Выражаем благодарность за помощь Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.

Safari

Выражаем благодарность за помощь @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Выражаем благодарность за помощь Waleed Barakat (@WilDN00B) и Paul Montgomery (@nullevent).

Siri

Выражаем благодарность за помощь Anand Mallaya, консультанту по технологиям из Anand Mallaya and Co., Harsh Kirdolia, независимому специалисту Hrishikesh Parmar.

Spotlight

Выражаем благодарность за помощь Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

Time Zone

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).

UIKit

Выражаем благодарность за помощь AEC, Abhay Kailasia (@abhay_kailasia) из Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Военно-морское министерство США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Выражаем благодарность за помощь пользователю Zhongcheng Li из отдела IES Red компании ByteDance.

Web Extensions

Выражаем благодарность за помощь Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Выражаем благодарность за помощь Vamshi Paili.

WebKit Process Model

Выражаем благодарность за помощь Joseph Semaan.

Wi-Fi

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy) и анонимному исследователю.

Wi-Fi Connectivity

Выражаем благодарность за помощь Alex Radocea из Supernetworks, Inc.

Widgets

Выражаем благодарность за помощь Marcel Voß, Mitul Pranjay, Serok Çelik.