Проблеми системи безпеки, які усунено в оновленні watchOS 26.4

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 26.4.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 26.4

802.1X

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник із привілейованим положенням у мережі може перехоплювати мережевий трафік.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2026-28865: Héloïse Gollier і Mathy Vanhoef (Католицький університет Левена)

Accounts

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2026-28877: Rosyna Keller із Totally Not Malicious Software

Audio

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28879: Justin Cohen із Google

Audio

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2026-28822: Jex Amro

CoreMedia

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка аудіопотоку в шкідливому медіафайлі може призводити до переривання процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2026-20690: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreUtils

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: користувач із привілейованим положенням у мережі може спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2026-28886: Etienne Charron (Renault) і Victoria Martini (Renault)

Crash Reporter

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2026-28878: Zhongcheng Li з відділу IES Red

curl

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: у curl виникала проблема, що могла призводити до випадкового надсилання конфіденційної інформації через неправильне з’єднання.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-14524

GeoServices

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: витік інформації було усунено за допомогою додаткової перевірки.

CVE-2026-28870: XiguaSec

ImageIO

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-64505

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2026-28868: 이동하 (Lee Dong Ha з BoB 0xB6)

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему вирішено завдяки вдосконаленню автентифікації.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2026-28882: Ilias Morad (A2nkF) із Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: локальний зловмисник може отримати доступ до елементів В’язки користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірки дозволів.

CVE-2026-28864: Alex Radocea

Siri

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник, який має фізичний доступ до заблокованого пристрою, може переглянути конфіденційну інформацію користувача.

Опис: цю проблему усунено завдяки вдосконаленню автентифікації.

CVE-2026-28856: анонімний дослідник

UIFoundation

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: переповнення стека усунено завдяки поліпшенню перевірки вводу.

CVE-2026-28852: Caspian Tarafdar

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка зловмисного вебконтенту може завадити застосуванню політики безпеки контенту.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-20665: webb

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідливий вебсайт може обробляти обмежений вебконтент поза межами ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit Sandboxing

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Додаткова подяка

AirPort

Дякуємо за допомогу користувачам Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari й Omid Rezaii.

Bluetooth

Дякуємо за допомогу користувачу Hamid Mahmoud.

Captive Network

Дякуємо за допомогу Kun Peeks (@SwayZGl1tZyyy).

CloudAttestation

Дякуємо за допомогу користувачам Suresh Sundaram і Willard Jansen.

CoreUI

Дякуємо за допомогу користувачу Peter Malone.

Find My

Дякуємо за допомогу користувачу Salemdomain.

GPU Drivers

Дякуємо за допомогу користувачу Jian Lee (@speedyfriend433).

ICU

Дякуємо за допомогу користувачу Jian Lee (@speedyfriend433).

Kernel

Дякуємо за допомогу користувачам DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville та Patrick Ventuzelo з Fuzzinglabs, Robert Tran і Suresh Sundaram.

libarchive

Дякуємо за допомогу користувачам Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs і Arni Hardarson.

libc

Дякуємо за допомогу користувачу Vitaly Simonovich.

Libnotify

Дякуємо за допомогу користувачу Ilias Morad (@A2nkF_).

LLVM

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

Messages

Дякуємо за допомогу користувачу JZ.

MobileInstallation

Дякуємо за допомогу Gongyu Ma (@Mezone0).

ppp

Дякуємо за допомогу Dave G.

Quick Look

Дякуємо за допомогу користувачу Wojciech Regula із SecuRing (wojciechregula.blog) й анонімному досліднику.

Safari

Дякуємо за допомогу користувачам @RenwaX23, Farras Givari, Syarif Muhammad Sajjad і Yair.

Shortcuts

Дякуємо за допомогу користувачам Waleed Barakat (@WilDN00B) і Paul Montgomery (@nullevent).

Siri

Дякуємо за допомогу користувачам Anand Mallaya (консультант із технічних питань), Anand Mallaya та Co., Harsh Kirdolia, Hrishikesh Parmar (працює на себе).

Spotlight

Дякуємо за допомогу користувачам Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

Time Zone

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія).

UIKit

Дякуємо за допомогу користувачам AEC, Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія), Bishal Kafle (@whoisbishal.k), Carlos Luna (Міністерство військово-морських сил США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 та incredincomp.

Wallet

Дякуємо за допомогу користувачу Zhongcheng Li з відділу IES Red компанії ByteDance.

Web Extensions

Дякуємо за допомогу користувачам Carlos Jeurissen і Rob Wu (robwu.nl).

WebKit

Дякуємо за допомогу користувачу Vamshi Paili.

WebKit Process Model

Дякуємо за допомогу користувачу Joseph Semaan.

Wi-Fi

Дякуємо за допомогу користувачу Kun Peeks (@SwayZGl1tZyyy) й анонімному досліднику.

Wi-Fi Connectivity

Дякуємо за допомогу користувачу Alex Radocea із Supernetworks, Inc.

Widgets

Дякуємо за допомогу користувачам Marcel Voß, Mitul Pranjay і Serok Çelik.