Om sikkerhedsindholdet i visionOS 26.4

I dette dokument beskrives sikkerhedsindholdet i visionOS 26.4.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 26.4

802.1X

Fås til: Apple Vision Pro (alle modeller)

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-28865: Héloïse Gollier og Mathy Vanhoef (KU Leuven)

Accounts

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-28877: Rosyna Keller fra Totally Not Malicious Software

Audio

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2026-28879: Justin Cohen fra Google

Audio

Fås til: Apple Vision Pro (alle modeller)

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2026-28822: Jex Amro

CoreMedia

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af en lydstream i et skadeligt mediearkiv kan afbryde processen

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-20690: Hossein Lotfi (@hosselot) fra TrendAI Zero Day Initiative

CoreUtils

Fås til: Apple Vision Pro (alle modeller)

Effekt: En bruger i en privilegeret netværksposition kan muligvis forårsage et denial of service-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2026-28886: Etienne Charron (Renault) og Victoria Martini (Renault)

Crash Reporter

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Et fortrolighedsproblem er løst via flytning af følsomme data.

CVE-2026-28878: Zhongcheng Li fra IES Red Team

curl

Fås til: Apple Vision Pro (alle modeller)

Effekt: Et sikkerhedsproblem var til stede i curl, hvilket kan resultere i utilsigtet afsendelse af følsomme oplysninger via en forkert forbindelse

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2026-28876: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

GeoServices

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2026-28870: XiguaSec

iCloud

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28880: Zhongcheng Li fra IES Red Team

CVE-2026-28833: Zhongcheng Li fra IES Red Team

ImageIO

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2025-64505

Kernel

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha of BoB 0xB6)

Kernel

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Problemet er løst via forbedret godkendelse.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2026-20688: wdszzml og Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Fås til: Apple Vision Pro (alle modeller)

Effekt: En lokal hacker kan muligvis opnå adgang til brugerens nøgleringselementer

Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.

CVE-2026-28864: Alex Radocea

Security

Fås til: Apple Vision Pro (alle modeller)

Effekt: En lokal hacker kan muligvis ændre nøgleringens tilstand

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2026-28860: Alex Radocea

Siri

Fås til: Apple Vision Pro (alle modeller)

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet blev løst ved forbedret godkendelse.

CVE-2026-28856: en anonym programmør

UIFoundation

Fås til: Apple Vision Pro (alle modeller)

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2026-28852: Caspian Tarafdar

Vision

Fås til: Apple Vision Pro (alle modeller)

Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2026-20657: Andrew Becker

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2026-20665: webb

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt webindhold kan muligvis omgå politikken om samme oprindelse

Beskrivelse: Et problem på tværs af oprindelsessteder i Navigation-API'en er løst ved forbedret inputvalidering.

CVE-2026-20643: Thomas Espach

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Et skadeligt websted kan muligvis få adgang til scriptbesked-handlers, der er tiltænkt andre oprindelsessteder

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2026-28861: Hongze Wu and Shuaike Dong fra Ant Group Infrastructure Security Team, og webb

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Et skadeligt websted kan muligvis behandle begrænset webindhold uden for sandbox'en

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28859: greenbynox, Arni Hardarson og en anonym programmør

WebKit

Fås til: Apple Vision Pro (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Fås til: Apple Vision Pro (alle modeller)

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Yderligere anerkendelser

AirPort

Vi vil gerne takke Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii for hjælpen.

Bluetooth

Vi vil gerne takke Hamid Mahmoud for hjælpen.

Captive Network

Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy) for hjælpen.

CipherML

Vi vil gerne takke Nils Hanff (@nils1729@chaos.social) fra Hasso Plattner Institute for hjælpen.

CloudAttestation

Vi vil gerne takke Suresh Sundaram, Willard Jansen for hjælpen.

CoreUI

Vi vil gerne takke Peter Malone for hjælpen.

Find My

Vi vil gerne takke Salemdomain for hjælpen.

GPU Drivers

Vi vil gerne takke Jian Lee (@speedyfriend433) for hjælpen.

ICU

Vi vil gerne takke Jian Lee (@speedyfriend433) for hjælpen.

Kernel

Vi vil gerne takke Adam Doupé fra ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville fra Fuzzinglabs, Patrick Ventuzelo fra Fuzzinglabs, Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec) fra Talence Security for hjælpen.

libarchive

Vi vil gerne takke Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs, Arni Hardarson for hjælpen.

libc

Vi vil gerne takke Vitaly Simonovich (vitalysim.com) for hjælpen.

Libnotify

Vi vil gerne takke Ilias Morad (@A2nkF_) for hjælpen.

LLVM

Vi vil gerne takke Nathaniel Oh (@calysteon) for hjælpen.

Messages

Vi vil gerne takke JZ for hjælpen.

MobileInstallation

Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.

Music

Vi vil gerne takke Mohammad Kaif (@_mkahmad | kaif0x01) for hjælpen.

Notes

Vi vil gerne takke Dawuge fra Shuffle Team og Hunan University for hjælpen.

ppp

Vi vil gerne takke Dave G. for hjælpen.

Quick Look

Vi vil gerne takke Wojciech Regula fra SecuRing (wojciechregula.blog), en anonym programmør for hjælpen.

Safari

Vi vil gerne takke @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair for hjælpen.

Shortcuts

Vi vil gerne takke Waleed Barakat (@WilDN00B) og Paul Montgomery (@nullevent) for hjælpen.

Siri

Vi vil gerne takke Anand Mallaya, teknisk konsulent, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, selvstændig, for hjælpen.

Time Zone

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India for hjælpen.

UIKit

Vi vil gerne takke AEC, Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp for hjælpen.

Wallet

Vi vil gerne takke Zhongcheng Li fra IES Red Team fra ByteDance for hjælpen.

Web Extensions

Vi vil gerne takke Carlos Jeurissen, Rob Wu (robwu.nl) for hjælpen.

WebKit

Vi vil gerne takke Vamshi Paili for hjælpen.

WebKit Process Model

Vi vil gerne takke Joseph Semaan for hjælpen.

Wi-Fi

Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy), en anonym programmør for hjælpen.

Wi-Fi Connectivity

Vi vil gerne takke Alex Radocea fra Supernetworks, Inc for hjælpen.

Widgets

Vi vil gerne takke Marcel Voß, Mitul Pranjay, Serok Çelik for hjælpen.