Проблеми системи безпеки, які усунено в оновленні watchOS 26.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 26.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
watchOS 26.2
Дата випуску: 12 грудня 2025 р.
App Store
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримувати доступ до конфіденційних платіжних токенів.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-46288: floeki, Zhongcheng Li з відділу IES Red компанії ByteDance
AppleJPEG
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43539: Michael Reeves (@IntegralPilot)
Calling Framework
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: зловмисник може підробити ID абонента FaceTime.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
CVE-2025-46287: анонімний дослідник, Riley Walz
curl
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: виявлено кілька проблем у curl.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-7264
CVE-2025-9086
Foundation
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримати несанкціонований доступ до файлів через API для перевірки правопису.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2025-43518: Noah Gregory (wts.dev)
Foundation
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливих даних може призвести до неочікуваного завершення роботи програми.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43532: Andrew Calvano і Lucas Pinheiro з Meta Product Security
Icons
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може визначати, яке інше ПЗ встановив користувач.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-46279: Duy Trần (@khanhduytran0)
Kernel
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему цілочисельного переповнення вирішено завдяки впровадженню 64-розрядних міток часу.
CVE-2025-46285: Kaitao Xie і Xiaolong Bai з Alibaba Group
Messages
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.
CVE-2025-46276: Rosyna Keller із Totally Not Malicious Software
Multi-Touch
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.
Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2025-43533: група аналізу загроз Google
Screen Time
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримати доступ до історії користувача Safari.
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-46277: Kirin (@Pwnrin)
Screen Time
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-43538: Iván Savransky
WebKit
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo з Epic Games
WebKit
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 302502
CVE-2025-43529: група аналізу загроз Google
WebKit
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
WebKit Bugzilla: 303614
CVE-2025-14174: група з аналізу загроз Apple і Google
WebKit
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми.
Опис: проблему з ініціалізацією пам’яті вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 299518
CVE-2025-46299: проєкт Big Sleep від Google
Запис додано 9 січня 2026 р.
WebKit
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 301468
CVE-2025-46298: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», Nan Wang (@eternalsakura13)
Запис додано 9 січня 2026 р.
WebKit Web Inspector
Цільові продукти: Apple Watch Series 6 і новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha з BoB 14th)
Додаткова подяка
AppleMobileFileIntegrity
Дякуємо за допомогу анонімному досліднику.
Core Services
Дякуємо за допомогу Golden Helm Securities, Csaba Fitzl (@theevilbit) з Iru та Gergely Kalman (@gergely_kalman).
Запис оновлено 9 січня 2026 р.
Safari
Дякуємо за допомогу Mochammad Nosa Shandy Prastyo.
WebKit
Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun) і проєкту Big Sleep від Google.
Запис оновлено 9 січня 2026 р.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.