Obsah zabezpečenia v systéme watchOS 26

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 26.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 26

Apple Neural Engine

Dostupné pre: Apple Watch Series 9 a novšie, Apple Watch SE (2. generácia), Apple Watch Ultra (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43344: anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43346: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Bluetooth

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z tímu Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z tímu Kandji

CoreAudio

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43372: 이동하 (Lee Dong Ha) z projektu SSA Lab

IOHIDFamily

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z tímu Kandji

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Soket servera UDP spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Sandbox

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43329: anonymný výskumník

Spell Check

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

System

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Riešil sa problém s overovaním vstupov

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Webová stránka môže byť schopná získať prístup k informáciám zo senzorov bez súhlasu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43272: Big Bear

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43343: anonymný výskumník

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-43342: anonymný výskumník

Ďalšie poďakovanie

Accounts

Poďakovanie za pomoc si zaslúži 要乐奈.

AuthKit

Poďakovanie za pomoc si zaslúži Rosyna Keller z projektu Totally Not Malicious Software.

Calendar

Poďakovanie za pomoc si zaslúži Keisuke Chinone (Iroiro).

CFNetwork

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

CloudKit

Poďakovanie za pomoc si zaslúži Yinyi Wu (@_3ndy1) z projektu Dawn Security Lab spoločnosti JD.com, Inc.

darwinOS

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Foundation

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) zo spoločnosti Enki WhiteHat.

Kernel

Poďakovanie za pomoc si zaslúžia Yepeng Pan, Prof. Dr. Christian Rossow.

libc

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Lockdown Mode

Poďakovanie za pomoc si zaslúžia Pyrophoria a Ethan Day z tímu kado.

mDNSResponder

Poďakovanie za pomoc si zaslúži Barrett Lyon.

MediaRemote

Poďakovanie za pomoc si zaslúži Dora Orak.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Rosyna Keller z projektu Totally Not Malicious Software.

Transparency

Poďakovanie za pomoc si zaslúžia Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), 要乐奈.

WebKit

Poďakovanie za pomoc si zaslúžia Bob Lord, Matthew Liang, Mike Cardwell z projektu grepular.com.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog), anonymný výskumník.