Om säkerhetsinnehållet i watchOS 26.5

I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 26.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

watchOS 26.5

Accelerate

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28988: Asaf Cohen

APFS

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28959: Dave G.

App Intents

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app med skadligt innehåll kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) från Reverse Society

AppleJPEG

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2026-28956: impost0r (ret2plt)

Audio

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-39869: David Ige från Beryllium Security

CoreSymbolication

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28918: Niels Hofmans och Anonym i samarbete med TrendAI Zero Day Initiative

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2026-43661: en anonym forskare

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-28977: Suresh Sundaram

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kan ta reda på schemat för kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka en oväntad systemavstängning eller en läsning till kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43655: Somair Ansar och en anonym forskare

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett buffertspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-28972: Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) från Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En fjärrangripare kanske kan orsaka ett oväntat appavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28846: Peter Malone

Spotlight

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2026-28974: Andy Koo (@andykoo) från Hexens

Storage

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28996: Alex Radocea

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2026-43660: Cantina

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28907: Cantina

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43658: Do Young Park

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anonym i samarbete med TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac och Kookhwan Lee i samarbete med TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) från Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle offensive-säkerhetsforskarteamet (Joshua Rogers, Luigino Camastra, Igor Morgenstern och Guido Vranken), Maher Azzouzi, Ngan Nguyen från Calif.io

CVE-2026-28913: en anonym forskare

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28917: Vitaly Simonovich

WebKit

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr och Nicholas Carlini med Claude, Anthropic

Wi-Fi

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilt utformade Wi-Fi-paket

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28994: Alex Radocea

zlib

Tillgängligt för: Apple Watch Series 6 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28920: Brendon Tiszka på Google Project Zero

Ytterligare tack

App Intents

Vi vill tacka Mikael Kinnman för hjälpen.

Apple Account

Vi vill tacka Iván Savransky och YingQi Shi (@Mas0nShi) på DBAppSecuritys WeBin-labb för hjälpen.

AuthKit

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

CoreUI

Vi vill tacka Mustafa Calap för hjälpen.

ICU

Vi vill tacka en anonym forskare för hjälpen.

Kernel

Vi vill tacka Ryan Hileman via Xint Code (xint.io), Suresh Sundaram och en anonym forskare för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

mDNSResponder

Vi vill tacka Jason Grove för hjälpen.

Messages

Vi vill tacka Jeffery Kimbrow för hjälpen.

Siri

Vi vill tacka Yoav Magid för hjälpen.

WebKit

Vi vill tacka Vitaly Simonovich för hjälpen.