Informace o bezpečnostním obsahu visionOS 26.1
Tento dokument popisuje bezpečnostní obsah visionOS 26.1.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
visionOS 26.1
Vydáno 3. listopadu 2025
Apple Account
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivé aplikaci se může podařit zachytit snímek obrazovky s citlivými informacemi v integrovaných zobrazeních.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením kontrol.
CVE-2025-43455: Ron Masas ze společnosti BreakPoint.SH, Pinak Oza
Apple Neural Engine
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-43447: anonymní výzkumník
CVE-2025-43462: anonymní výzkumník
AppleMobileFileIntegrity
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2025-43407: JZ
Audio
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Útočníkovi s fyzickým přístupem k odemknutému zařízení spárovanému s Macem se může podařit zobrazit citlivé uživatelské informace v systémových protokolech.
Popis: Problém v protokolování byl vyřešen vylepšením redigování dat.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-43436: Zhongcheng Li z týmu IES Red Team společnosti ByteDance
CoreText
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2025-43445: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
FileProvider
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém s ochranou soukromí byl vyřešen přesunutím citlivých dat.
CVE-2025-43507: iisBuri
Installer
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-43444: Zhongcheng Li z týmu IES Red Team společnosti ByteDance
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-43398: Cristian Dinca (icmd.tech)
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivá aplikace může způsobit nečekané změny v paměti sdílené mezi procesy
Popis: Problém s poškozením paměti byl vyřešen lepším ověřováním stavu zamčení.
CVE-2025-43510: Apple
Záznam přidán 12. prosince 2025
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivé aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2025-43520: Apple
Záznam přidán 12. prosince 2025
libxpc
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci v sandboxu se může podařit pozorovat síťová připojení v měřítku celého systému.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2025-43413: Dave G. a Alex Radocea ze supernetworks.org
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Útočníkovi se může podařit způsobit přetrvávající odepření služby.
Popis: Problém s parsováním hlaviček pošty byl vyřešen vylepšením kontrol.
CVE-2025-43494: Taavi Eomäe ze společnosti Zone Media (zone.ee)
Záznam přidán 12. prosince 2025
Mail Drafts
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Vzdálený obsah se může načítat, i když je volba „Načíst vzdálené obrázky“ vypnutá.
Popis: Problém byl vyřešen přidáním další logiky.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme ze společnosti Khatima
Model I/O
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2025-43386: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43385: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43384: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43383: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
Notes
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se soukromím byl vyřešen odebráním zranitelného kódu.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.
CVE-2025-43439: Zhongcheng Li z týmu IES Red Team společnosti ByteDance
Safari
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-43493: @RenwaX23
Safari
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.
Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.
CVE-2025-43503: @RenwaX23
Safari
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.
Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.
CVE-2025-43502: anonymní výzkumník
Sandbox Profiles
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se soukromím byl vyřešen lepším zpracováváním uživatelských předvoleb.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivý web může získat data napříč původy.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontrol.
WebKit Bugzilla: 299843
CVE-2025-43443: anonymní výzkumník
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen ze společnosti Google
WebKit Bugzilla: 298851
CVE-2025-43425: anonymní výzkumník
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontrol
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 297662
CVE-2025-43438: rheza (@ginggilBesel), shandikri ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
Záznam aktualizován 12. prosince 2025
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Více problémů bylo vyřešeno zakázáním ukládání alokace pole.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Web může být schopný vytáhnout data obrázků napříč původy.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Další poděkování
Poděkování za pomoc zaslouží anonymní výzkumník.
MobileInstallation
Poděkování za pomoc zaslouží Bubble Zhang.
Safari
Poděkování za pomoc zaslouží Barath Stalin K a Syarif Muhammad Sajjad.
Záznam aktualizován 12. prosince 2025
Safari Downloads
Poděkování za pomoc zaslouží Saello Puza a Syarif Muhammad Sajjad.
Záznam aktualizován 12. prosince 2025
Shortcuts
Poděkování za pomoc zaslouží: BanKai, Benjamin Hornbeck, Chi Yuan Chang ze ZUSO ART a taikosoup, Ryan May, Andrew James Gonzalez a dále anonymní výzkumník.
WebKit
Poděkování za pomoc zaslouží Enis Maholli (enismaholli.com), Google Big Sleep.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.