Informace o bezpečnostním obsahu visionOS 26

Tento dokument popisuje bezpečnostní obsah visionOS 26.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

visionOS 26

AppleMobileFileIntegrity

K dispozici pro: Apple Vision Pro

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

K dispozici pro: Apple Vision Pro

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2025-43344: anonymní výzkumník

Audio

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2025-43346: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Bluetooth

K dispozici pro: Apple Vision Pro

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.

CVE-2025-43354: Csaba Fitzl (@theevilbit) ze společnosti Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) ze společnosti Kandji

CoreAudio

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2025-43349: @zlluny ve spolupráci s týmem Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.

CVE-2025-43372: 이동하 (Lee Dong Ha) ze společnosti SSA Lab

DiskArbitration

K dispozici pro: Apple Vision Pro

Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2025-43316: Csaba Fitzl (@theevilbit) ze společnosti Kandji, anonymní výzkumník

IOHIDFamily

K dispozici pro: Apple Vision Pro

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

Kernel

K dispozici pro: Apple Vision Pro

Dopad: Socket serveru UDP vázaný na místní rozhraní se může stát vázaným na všechna rozhraní

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

K dispozici pro: Apple Vision Pro

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2025-43355: Dawuge z týmu Shuffle

Spell Check

K dispozici pro: Apple Vision Pro

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

K dispozici pro: Apple Vision Pro

Dopad: Zpracování souboru může vést k poškození paměti

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-6965

Systém

K dispozici pro: Apple Vision Pro

Dopad: Byl vyřešen problém s ověřováním vstupů.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Webové stránce se může podařit získat přístup k uživatelovým citlivým údajům bez jeho svolení.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2025-43356: Jaydev Ahire

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-43272: Big Bear

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-43343: anonymní výzkumník

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém se správností byl vyřešen vylepšením kontrol.

CVE-2025-43342: anonymní výzkumník

Další poděkování

AuthKit

Poděkování za pomoc zaslouží Rosyna Keller ze společnosti Totally Not Malicious Software.

Calendar

Poděkování za pomoc zaslouží Keisuke Chinone (Iroiro).

CFNetwork

Poděkování za pomoc zaslouží Christian Kohlschütter.

CloudKit

Poděkování za pomoc zaslouží Yinyi Wu (@_3ndy1) z týmu Dawn Security Lab společnosti JD.com, Inc.

Control Center

Poděkování za pomoc zaslouží Damitha Gunawardena.

CoreMedia

Poděkování za pomoc zaslouží Noah Gregory (wts.dev).

darwinOS

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

Files

Poděkování za pomoc zaslouží Tyler Montgomery.

Foundation

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji.

ImageIO

Poděkování za pomoc zaslouží DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) ze společnosti Enki WhiteHat.

IOGPUFamily

Poděkování za pomoc zaslouží Wang Yu z týmu Cyberserval.

Kernel

Poděkování za pomoc zaslouží Yepeng Pan a Prof. Dr. Christian Rossow.

libc

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

libpthread

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

libxml2

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

mDNSResponder

Poděkování za pomoc zaslouží Barrett Lyon.

Networking

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) ze společnosti Kandji.

Notes

Poděkování za pomoc zaslouží Atul R V.

Passwords

Poděkování za pomoc zaslouží Christian Kohlschütter.

Safari

Poděkování za pomoc zaslouží Ameen Basha M K.

Sandbox Profiles

Poděkování za pomoc zaslouží Rosyna Keller ze společnosti Totally Not Malicious Software.

Spotlight

Poděkování za pomoc zaslouží Christian Scalese.

Transparency

Poděkování za pomoc zaslouží Wojciech Regula ze společnosti SecuRing (wojciechregula.blog) a 要乐奈.

WebKit

Poděkování za pomoc zaslouží Bob Lord, Matthew Liang a Mike Cardwell ze společnosti grepular.com.

Wi-Fi

Poděkování za pomoc zaslouží Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) ze společnosti Kandji, Noah Gregory (wts.dev), Wojciech Regula ze společnosti SecuRing (wojciechregula.blog) a anonymní výzkumník.