Проблеми системи безпеки, які усунено в оновленні watchOS 26.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 26.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 26.2

App Store

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних платіжних токенів.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46288: floeki, Zhongcheng Li з відділу IES Red компанії ByteDance

AppleJPEG

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може підробити ID абонента FaceTime.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2025-46287: анонімний дослідник, Riley Walz

curl

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: виявлено кілька проблем у curl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-7264

CVE-2025-9086

Foundation

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримати несанкціонований доступ до файлів через API для перевірки правопису.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43518: Noah Gregory (wts.dev)

Foundation

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливих даних може призвести до неочікуваного завершення роботи програми.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43532: Andrew Calvano і Lucas Pinheiro з Meta Product Security

Icons

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може визначити, які інші програми інсталював користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему цілочисельного переповнення вирішено завдяки впровадженню 64-розрядних міток часу.

CVE-2025-46285: Kaitao Xie і Xiaolong Bai з Alibaba Group

Messages

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.

CVE-2025-46276: Rosyna Keller із Totally Not Malicious Software

Multi-Touch

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43533: група аналізу загроз Google

Screen Time

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримати доступ до історії користувача Safari.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-46277: Kirin (@Pwnrin)

Screen Time

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43538: Iván Savransky

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43531: Phil Pizlo з Epic Games

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43529: група аналізу загроз Google

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2025-14174: група з аналізу загроз Apple і Google

WebKit Web Inspector

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)

Додаткова подяка

AppleMobileFileIntegrity

Дякуємо за допомогу анонімному досліднику.

AppSandbox

Дякуємо за допомогу Mickey Jin (@patch1t).

Core Services

Дякуємо за допомогу Golden Helm Securities.

Safari

Дякуємо за допомогу Mochammad Nosa Shandy Prastyo.

WebKit

Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun).