Informazioni sui contenuti di sicurezza di watchOS 26.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 26.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

watchOS 26.3

Bluetooth

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un’interruzione del servizio usando pacchetti Bluetooth modificati.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2026-20650: jioundai

CoreAudio

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file multimediale dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20611: anonimo in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) di Iru

CoreServices

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: si verificava un problema nella gestione delle variabili ambientali. Il problema è stato risolto attraverso una migliore convalida.

CVE-2026-20627: un ricercatore anonimo

dyld

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato con capacità di scrittura in memoria può essere in grado di eseguire codice arbitrario. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. CVE-2025-14174 e CVE-2025-43529 sono stati emessi anche in risposta a questo report.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20700: Threat Analysis Group di Google

Game Center

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: una persona può essere in grado di visualizzare informazioni sensibili dell'utente.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-20649: Asaf Cohen

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione delle informazioni degli utenti

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in collaborazione con Trend Micro Zero Day Initiative

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20671: Xin’an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l’elaborazione di un file pericoloso potrebbe causare un’interruzione del servizio.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-59375

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2026-20667: un ricercatore anonimo

Sandbox

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di privacy è stato risolto attraverso migliori controlli.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20635: EntryHi

Altri riconoscimenti

Bluetooth

Ringraziamo Tommaso Sacchetti per l’assistenza.

Kernel

Ringraziamo Joseph Ravichandran (@0xjprx) di MIT CSAIL, Xinru Chi di Pangu Lab per l’assistenza.

libpthread

Ringraziamo Fabiano Anemone per l’assistenza.

NetworkExtension

Ringraziamo Gongyu Ma (@Mezone0) per l’assistenza.

Transparency

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog) per l'assistenza.

Wallet

Ringraziamo Lorenzo Santina (@BigNerd95) e Marco Bartoli (@wsxarcher) per l’assistenza.

WebKit

Ringraziamo EntryHi, Luigino Camastra di Aisle Research, Stanislav Fort di Aisle Research, Vsevolod Kokorin (Slonser) di Solidlab e Jorian Woltjer per l’assistenza.