เกี่ยวกับเนื้อหาความปลอดภัยของ watchOS 26.5

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ watchOS 26.5

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

watchOS 26.5

Accelerate

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2026-28988: Asaf Cohen

APFS

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-28959: Dave G.

App Intents

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) สำหรับ Reverse Society

AppleJPEG

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2026-1837

AppleJPEG

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28956: impost0r (ret2plt)

Audio

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลสตรีมเสียงในไฟล์มีเดียที่ถูกสร้างขึ้นอย่างเจตนาร้ายอาจยุติกระบวนการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-39869: David Ige จาก Beryllium Security

CoreSymbolication

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การแยกวิเคราะห์ไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-28918: Niels Hofmans, นักวิจัยนิรนามที่ทำงานร่วมกับ TrendAI Zero Day Initiative

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทําให้หน่วยความจําประมวลผลเสียหาย

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-43661: นักวิจัยนิรนาม

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2026-28977: Suresh Sundaram

ImageIO

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทําให้หน่วยความจําประมวลผลเสียหาย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น

CVE-2026-28943: Google Threat Analysis Group

IOKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการอ่านข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-43655: Somair Ansar และนักวิจัยนิรนาม

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong และ Pan Zhenpeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28972: Billy Jheng Bing Jhong และ Pan Zhenpeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหา Race Condition ได้รับการแก้ไขแล้วด้วยการตรวจสอบความถูกต้องเพิ่มเติม

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) จาก Talence Security, Ryan Hileman ผ่าน Xint Code (xint.io)

Kernel

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2026-28983: Ruslan Dautov

mDNSResponder

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีบนเครือข่ายเฉพาะที่อาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-43666: Ian van der Wurff (ian.nl)

SceneKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-28846: Peter Malone

Spotlight

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2026-28974: Andy Koo (@andykoo) จาก Hexens

Storage

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหา Race Condition ได้รับการแก้ไขแล้วด้วยการตรวจสอบความถูกต้องเพิ่มเติม

CVE-2026-28996: Alex Radocea

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2026-43660: Cantina

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28907: Cantina

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-43658: Do Young Park

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), นักวิจัยนิรนามที่ทำงานร่วมกับ TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac และ Kookhwan Lee ที่ทำงานร่วมกับ TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) จาก Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: ทีมวิจัยความปลอดภัยเชิงรุก Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern และ Guido Vranken), Maher Azzouzi, Ngan Nguyen จาก Calif.io

CVE-2026-28913: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28917: Vitaly Simonovich

WebKit

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr และ Nicholas Carlini ร่วมกับ Claude, Anthropic

Wi-Fi

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถโจมตีแบบ Denial of Service โดยใช้แพ็คเก็ต Wi-Fi ที่สร้างขึ้นโดยเฉพาะ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28994: Alex Radocea

zlib

มีให้สำหรับ: Apple Watch Series 6 และใหม่กว่า

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ข้อมูลรั่วไหลได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2026-28920: Brendon Tiszka จาก Google Project Zero

คำขอบคุณพิเศษ

App Intents

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mikael Kinnman

Apple Account

เราขอขอบคุณสำหรับความช่วยเหลือจาก Iván Savransky, YingQi Shi (@Mas0nShi) จาก DBAppSecurity's WeBin lab

AuthKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gongyu Ma (@Mezone0)

CoreUI

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mustafa Calap

ICU

เราขอขอบคุณนักวิจัยนิรนามที่ให้ความช่วยเหลือ

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Hileman ผ่าน Xint Code (xint.io), Suresh Sundaram, นักวิจัยนิรนาม

Libnotify

เราขอขอบคุณสำหรับความช่วยเหลือจาก Morad (@A2nkF_)

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jason Grove

Messages

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jeffery Kimbrow

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yoav Magid

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vitaly Simonovich