Informace o bezpečnostním obsahu visionOS 26.5
Tento dokument popisuje bezpečnostní obsah visionOS 26.5.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
visionOS 26.5
Vydáno 11. května 2026
Accelerate
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2026-28988: Asaf Cohen
APFS
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28959: Dave G.
App Intents
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivé aplikaci se může podařit dostat se ze sandboxu.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pro Reverse Society
AppleJPEG
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2026-1837
AppleJPEG
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28956: impost0r (ret2plt)
Audio
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování audio streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-39869: David Ige z týmu Beryllium Security
CoreAnimation
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2026-28936: Andreas Jaegersberger a Ro Achterberg z týmu Nosebeard Labs
CoreSymbolication
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Parsování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2026-28918: Niels Hofmans, anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti TrendAI
FileProvider
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2026-43659: Alex Radocea
ImageIO
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28977: Suresh Sundaram
ImageIO
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupu.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokulakannan
Kernel
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd., Ryan Hileman prostřednictvím Xint Code (xint.io)
LaunchServices
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Útočníkovi v místní síti se může podařit způsobit odmítnutí služby.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého obrázku může vést k porušení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2026-28940: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti TrendAI
Networking
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Útočník může být schopný sledovat uživatele prostřednictvím jejich IP adres.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2026-28846: Peter Malone
Shortcuts
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Tento problém byl vyřešen přidáním další výzvy pro souhlas uživatele.
CVE-2026-28993: Doron Assness
Spotlight
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.
CVE-2026-28974: Andy Koo (@andykoo) z týmu Hexens
Status Bar
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit zachytit obrazovku uživatele.
Popis: Problém s přístupem aplikací k metadatům fotoaparátu byl vyřešen vylepšením logiky.
CVE-2026-28957: Adriatik Raci
Storage
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2026-28996: Alex Radocea
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.
Popis: Problém byl vyřešen vylepšením přístupových omezení.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu a Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti TrendAI, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac a Kookhwan Lee ve spolupráci se Zero Day Initiative společnosti TrendAI
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) ze společnosti Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Tým Aisle Offensive Security Research (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z týmu Calif.io
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením ochrany dat.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Škodlivý rámec iframe může použít nastavení stahování platné pro jiný web.
Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr a Nicholas Carlini ve spolupráci s Claudem od Anthropicu
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu ze společnosti Palo Alto Networks, Jérôme DJOUDER, dr3dd
zlib
K dispozici pro: Apple Vision Pro (všechny modely)
Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.
Popis: Únik informací byl řešen dodatečným ověřením.
CVE-2026-28920: Brendon Tiszka z týmu Google Project Zero
Další poděkování
App Intents
Poděkování za pomoc zaslouží Mikael Kinnman.
Apple Account
Poděkování za pomoc zaslouží Iván Savransky, YingQi Shi (@Mas0nShi) z laboratoře WeBin společnosti DBAppSecurity.
AuthKit
Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).
CoreUI
Poděkování za pomoc zaslouží Mustafa Calap.
ICU
Poděkování za pomoc zaslouží anonymní výzkumník.
Kernel
Poděkování za pomoc zaslouží Ryan Hileman prostřednictvím Xint Code (xint.io) a anonymní výzkumník.
libnetcore
Poděkování za pomoc zaslouží Chris Staite a David Hardy ze společnosti Menlo Security Inc.
Libnotify
Poděkování za pomoc zaslouží Ilias Morad (@A2nkF_).
Location
Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy).
Poděkování za pomoc zaslouží Himanshu Bharti (@Xpl0itme) z týmu Khatima.
mDNSResponder
Poděkování za pomoc zaslouží Jason Grove.
Notes
Poděkování za pomoc zaslouží Asilbek Salimov.
Siri
Poděkování za pomoc zaslouží Yoav Magid.
WebKit
Poděkování za pomoc zaslouží Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.
WebRTC
Poděkování za pomoc zaslouží Hyeonji Son (@jir4vv1t) z Demon Teamu.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.