Проблеми системи безпеки, які усунено в оновленні watchOS 26.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 26.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 26.1

Apple Account

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може робити знімки екрана з конфіденційними даними у вбудованих поданнях.

Опис: проблему з приватністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-43455: Ron Masas із BreakPoint.SH, Pinak Oza

Apple Neural Engine

Цільові продукти: Apple Watch Series 9 і новішої моделі, Apple Watch SE (2-го покоління), Apple Watch Ultra (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43447: анонімний дослідник

CVE-2025-43462: анонімний дослідник

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може перелічувати, скільки програм установив користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43436: Zhongcheng Li з відділу IES Red компанії ByteDance

CoreText

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43445: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Find My

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему приватності вирішено завдяки перенесенню конфіденційних даних.

CVE-2025-43507: користувач iisBuri

FontParser

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого шрифту може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43400: фахівці Apple

Installer

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43444: Zhongcheng Li з відділу IES Red компанії ByteDance

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма в ізольованому середовищі може отримати можливість спостерігати за мережевими підключеннями на рівні всієї системи.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43413: Dave G. й Alex Radocea із supernetworks.org

Mail Drafts

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: віддалений вміст може завантажуватися, навіть якщо параметр «Завантажити зовнішні зображення» вимкнуто.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti (@Xpl0itme) з Khatima

MallocStackLogging

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: під час обробки змінних середовища виникала проблема. Цю проблему усунуто завдяки поліпшенню перевірки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник із фізичним доступом до заблокованого годинника Apple Watch може переглядати дані функції «Голосова пошта наживо».

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2025-43459: Dalibor Milanovic

Safari

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2025-43503: користувач @RenwaX23

Sandbox Profiles

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки користувацьких налаштувань.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43480: Aleksejs Popovs

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43443: анонімний дослідник

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: цю проблему вирішено завдяки вдосконаленню перевірок

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43438: користувач shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43434: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43435: Justin Cohen із Google

CVE-2025-43425: анонімний дослідник

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43433: проєкт Big Sleep від Google

CVE-2025-43431: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43432: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43429: проєкт Big Sleep від Google

WebKit Canvas

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: вебсайт може призводити до витоку даних в інший домен.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2025-43392: Tom Van Goethem

Додаткова подяка

Mail

Дякуємо за допомогу анонімному досліднику.

MobileInstallation

Дякуємо за допомогу користувачу Bubble Zhang.

Safari

Дякуємо за допомогу користувачу Barath Stalin K.

Shortcuts

Дякуємо за допомогу користувачам BanKai, Benjamin Hornbeck, Chi Yuan Chang із ZUSO ART і taikosoup, Ryan May, Andrew James Gonzalez і анонімному досліднику.

WebKit

Дякуємо за допомогу користувачу Enis Maholli (enismaholli.com) і проєкту Big Sleep від Google.