Obsah zabezpečenia v systéme watchOS 26.5

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 26.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 26.5

Accelerate

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28988: Asaf Cohen

APFS

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

App Intents

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) z tímu Reverse Society

AppleJPEG

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2026-1837

AppleJPEG

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39869: David Ige z tímu Beryllium Security

CoreSymbolication

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28918: Niels Hofmans, anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43661: anonymný výskumník

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28943: Threat Analysis Group spoločnosti Google

IOKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43655: Somair Ansar a anonymný výskumník

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Ryan Hileman cez Xint Code (xint.io)

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) z tímu Talence Security, Ryan Hileman cez Xint Code (xint.io)

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Spotlight

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2026-28974: Andy Koo (@andykoo) z tímu Hexens

Storage

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28996: Alex Radocea

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2026-43660: Cantina

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28907: Cantina

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43658: Do Young Park

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac a Kookhwan Lee v spolupráci s projektom Zero Day Initiative spoločnosti TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) z tímu Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z tímu Calif.io

CVE-2026-28913: anonymný výskumník

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28917: Vitaly Simonovich

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr a Nicholas Carlini z tímu Claude, Anthropic

Wi-Fi

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Wi-Fi

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28994: Alex Radocea

zlib

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28920: Brendon Tiszka z tímu Google Project Zero

Ďalšie poďakovanie

App Intents

Poďakovanie za pomoc si zaslúži Mikael Kinnman.

Apple Account

Poďakovanie za pomoc si zaslúžia Iván Savransky, YingQi Shi (@Mas0nShi) z laboratória WeBin spoločnosti DBAppSecurity.

AuthKit

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

CoreUI

Poďakovanie za pomoc si zaslúži Mustafa Calap.

ICU

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Kernel

Poďakovanie za pomoc si zaslúžia Ryan Hileman cez Xint Code (xint.io), Suresh Sundaram, anonymný výskumník.

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

mDNSResponder

Poďakovanie za pomoc si zaslúži Jason Grove.

Messages

Poďakovanie za pomoc si zaslúži Jeffery Kimbrow.

Siri

Poďakovanie za pomoc si zaslúži Yoav Magid.

WebKit

Poďakovanie za pomoc si zaslúži Vitaly Simonovich.