Проблеми системи безпеки, які усунено в оновленні watchOS 26.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 26.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 26.1

Apple Account

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може робити знімки екрана з конфіденційними даними у вбудованих поданнях.

Опис: проблему з приватністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-43455: Ron Masas із BreakPoint.SH, Pinak Oza

Apple Neural Engine

Цільові продукти: Apple Watch Series 9 і новішої моделі, Apple Watch SE (2-го покоління), Apple Watch Ultra (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43447: анонімний дослідник

CVE-2025-43462: анонімний дослідник

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

CloudKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43436: Zhongcheng Li з відділу IES Red компанії ByteDance

CoreText

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43445: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Find My

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему приватності вирішено завдяки перенесенню конфіденційних даних.

CVE-2025-43507: користувач iisBuri

FontParser

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого шрифту може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43400: фахівці Apple

Installer

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43444: Zhongcheng Li з відділу IES Red компанії ByteDance

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може спричинити несподівані зміни в пам’яті, що спільно використовується процесами.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки стану блокування.

CVE-2025-43510: Apple

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему з пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2025-43520: Apple

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма в ізольованому середовищі може отримати можливість спостерігати за мережевими підключеннями на рівні всієї системи.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43413: Dave G. й Alex Radocea із supernetworks.org

Mail

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може спричинити постійну відмову в обслуговуванні.

Опис: проблему затвердження заголовків пошти усунуто завдяки поліпшенню перевірок.

CVE-2025-43494: Taavi Eomäe із Zone Media (zone.ee)

Mail Drafts

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: віддалений вміст може завантажуватися, навіть якщо параметр «Завантажити зовнішні зображення» вимкнуто.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti (@Xpl0itme) з Khatima

MallocStackLogging

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: під час обробки змінних середовища виникала проблема. Цю проблему усунуто завдяки поліпшенню перевірки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Phone

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник із фізичним доступом до заблокованого годинника Apple Watch може переглядати дані функції «Голосова пошта наживо».

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2025-43459: Dalibor Milanovic

Safari

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2025-43503: користувач @RenwaX23

Sandbox Profiles

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки користувацьких налаштувань.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43480: Aleksejs Popovs

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43443: анонімний дослідник

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43438: rheza (@ginggilBesel), shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43434: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43435: Justin Cohen із Google

CVE-2025-43425: анонімний дослідник

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43433: проєкт Big Sleep від Google

CVE-2025-43431: проєкт Big Sleep від Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43432: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43429: проєкт Big Sleep від Google

WebKit Canvas

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: вебсайт може призводити до витоку даних в інший домен.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2025-43392: Tom Van Goethem

Додаткова подяка

Mail

Дякуємо за допомогу анонімному досліднику.

MobileInstallation

Дякуємо за допомогу користувачу Bubble Zhang.

Safari

Дякуємо за допомогу користувачам Barath Stalin K і Syarif Muhammad Sajjad.

Shortcuts

Дякуємо за допомогу користувачам BanKai, Benjamin Hornbeck, Chi Yuan Chang із ZUSO ART і taikosoup, Ryan May, Andrew James Gonzalez і анонімному досліднику.

WebKit

Дякуємо за допомогу користувачу Enis Maholli (enismaholli.com) і проєкту Big Sleep від Google.