Om sikkerhedsindholdet i visionOS 26.1

I dette dokument beskrives sikkerhedsindholdet i visionOS 26.1.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 26.1

Apple Account

Fås til: Apple Vision Pro (alle modeller)

Effekt: En skadelig app kan muligvis tage et skærmbillede af følsomme oplysninger i integrerede visninger

Beskrivelse: Et anonymitetsproblem er løst via forbedret kontrol.

CVE-2025-43455: Ron Masas fra BreakPoint.SH, Pinak Oza

Apple Neural Engine

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43447: en anonym programmør

CVE-2025-43462: en anonym programmør

AppleMobileFileIntegrity

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2025-43407: JZ

Audio

Fås til: Apple Vision Pro (alle modeller)

Effekt: En hacker med fysisk adgang til en ulåst enhed sammen med en Mac kan muligvis se følsomme brugerdata i systemlogføring

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43436: Zhongcheng Li fra IES Red Team hos ByteDance

CoreText

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2025-43445: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

FileProvider

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et anonymitetsproblem er løst ved at flytte følsomme data.

CVE-2025-43507: iisBuri

Installer

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2025-43444: Zhongcheng Li fra IES Red Team hos ByteDance

Kernel

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Fås til: Apple Vision Pro (alle modeller)

Effekt: En sandbox-app kan muligvis observere netværksforbindelser i hele systemet

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2025-43413: Dave G. og Alex Radocea fra supernetworks.org

Mail Drafts

Fås til: Apple Vision Pro (alle modeller)

Effekt: Eksternt indhold kan muligvis blive indlæst, selv når indstillingen "Indlæs eksterne billeder" er slået fra

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme fra Khatima

Model I/O

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43386: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Notes

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved at fjerne den sårbare kode.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et anonymitetsproblem er løst via flytning af følsomme data.

CVE-2025-43439: Zhongcheng Li fra IES Red Team hos ByteDance

Safari

Fås til: Apple Vision Pro (alle modeller)

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-43493: @RenwaX23

Safari

Fås til: Apple Vision Pro (alle modeller)

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2025-43503: @RenwaX23

Safari

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis omgå visse indstillinger for anonymitet

Beskrivelse: Et anonymitetsproblem er løst via flytning af følsomme data.

CVE-2025-43502: en anonym programmør

Sandbox Profiles

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et fortrolighedsproblem er løst via forbedret håndtering af brugerindstillinger.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-43480: Aleksejs Popovs

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2025-43443: en anonym programmør

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen fra Google

CVE-2025-43425: en anonym programmør

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret kontrol

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-43438: shandikiri, der arbejder med Trend Micro Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-43432: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2025-43429: Google Big Sleep

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Flere problemer blev løst ved at slå optimeringen af array-allokering fra.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Fås til: Apple Vision Pro (alle modeller)

Effekt: Et websted kan eksfiltrere billeddata på tværs af oprindelsessteder

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2025-43392: Tom Van Goethem

Yderligere anerkendelser

Mail

Vi vil gerne takke en anonym programmør for hjælpen.

MobileInstallation

Vi vil gerne takke Bubble Zhang for hjælpen.

Safari

Vi vil gerne takke Barath Stalin K for hjælpen.

Safari Downloads

Vi vil gerne takke Saello Puza for hjælpen.

Shortcuts

Vi vil gerne takke BanKai, Benjamin Hornbeck, Chi Yuan Chang fra ZUSO ART og taikosoup, Ryan May, Andrew James Gonzalez, en anonym programmør for hjælpen.

WebKit

Vi vil gerne takke Enis Maholli (enismaholli.com), Google Big Sleep for hjælpen.