Obsah zabezpečenia v systéme watchOS 26.2

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 26.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 26.2

App Store

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým platobným tokenom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46288: floeki, Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

AppleJPEG

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Útočiaca osoba môže byť schopná falšovať ID volajúceho na FaceTime

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-46287: anonymný výskumník, Riley Walz

curl

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Viacero problémov v súčasti curl

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-7264

CVE-2025-9086

Foundation

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Aplikácia môže mať neoprávnený prístup k súborom prostredníctvom rozhrania API na kontrolu pravopisu.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie škodlivých údajov môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z tímu Meta Product Security

Icons

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Opis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený prijatím 64-bitových časových značiek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai z tímu Alibaba Group

Messages

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so zverejnením informácií bol vyriešený vylepšením kontroly súkromia.

CVE-2025-46276: Rosyna Keller z tímu Totally Not Malicious Software

Multi-Touch

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Zariadenie HID so škodlivým kódom môže spôsobiť neočakávané zlyhanie procesu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2025-43533: Google Threat Analysis Group

Screen Time

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k histórii prehliadača Safari používateľa

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43538: Iván Savransky

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43531: Phil Pizlo z tímu Epic Games

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-14174 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-43529 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2025-14174: Apple a Google Threat Analysis Group

WebKit Web Inspector

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43511: 이동하 (Lee Dong Ha z tímu BoB 14th)

Ďalšie poďakovanie

AppleMobileFileIntegrity

Poďakovanie za pomoc si zaslúži anonymný výskumník.

AppSandbox

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Core Services

Poďakovanie za pomoc si zaslúžia Golden Helm Securities.

Safari

Poďakovanie za pomoc si zaslúžia Mochammad Nosa Shandy Prastyo.

WebKit

Poďakovanie za pomoc si zaslúži Geva Nurgandi Syahputra (gevakun).