Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 26.5

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 26.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 26.5

Accelerate

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28988: Asaf Cohen

APFS

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28959: Dave G.

App Intents

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) для Reverse Society

AppleJPEG

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2026-1837

AppleJPEG

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2026-28956: impost0r (ret2plt)

Audio

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-39869: David Ige из Beryllium Security

CoreSymbolication

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28918: Niels Hofmans, анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2026-43661: анонимный исследователь

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2026-28977: Suresh Sundaram

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28943: подразделение Threat Analysis Group компании Google

IOKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или считывать данные из памяти ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-43655: Somair Ansar и анонимный исследователь

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки ввода.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokulakannan

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2026-28972: Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Ryan Hileman при посредничестве Xint Code (xint.io)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) из Talence Security, Ryan Hileman при посредничестве Xint Code (xint.io)

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28846: Peter Malone

Spotlight

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2026-28974: Andy Koo (@andykoo) из Hexens

Storage

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-28996: Alex Radocea

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2026-43660: Cantina

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2026-28907: Cantina

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43658: Do Young Park

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac и Kookhwan Lee в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) из Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: команда исследователей Offensive Security (Joshua Rogers, Luigino Camastra, Igor Morgenstern и Guido Vranken) из Aisle, Maher Azzouzi, Ngan Nguyen из Calif.io

CVE-2026-28913: анонимный исследователь

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2026-28917: Vitaly Simonovich

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr и Nicholas Carlini с помощью Claude, Anthropic

Wi-Fi

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить атаку типа «отказ в обслуживании» с помощью собственноручно созданных пакетов Wi-Fi.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28994: Alex Radocea

zlib

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Посещение вредоносного веб-сайта может приводить к утечке конфиденциальных данных.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28920: Brendon Tiszka из Google Project Zero

Дополнительные благодарности

App Intents

Выражаем благодарность за помощь Mikael Kinnman.

Apple Account

Выражаем благодарность за помощь Iván Savransky, YingQi Shi (@Mas0nShi) из лаборатории WeBin компании DBAppSecurity.

AuthKit

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

CoreUI

Выражаем благодарность за помощь Mustafa Calap.

ICU

Выражаем благодарность за помощь анонимному исследователю.

Kernel

Выражаем благодарность за помощь Ryan Hileman при посредничестве Xint Code (xint.io), Suresh Sundaram, анонимному исследователю.

Libnotify

Выражаем благодарность за помощь Ilias Morad (@A2nkF_).

mDNSResponder

Выражаем благодарность за помощь Jason Grove.

Messages

Выражаем благодарность за помощь Jeffery Kimbrow.

Siri

Выражаем благодарность за помощь Yoav Magid.

WebKit

Выражаем благодарность за помощь Vitaly Simonovich.