Om sikkerhedsindholdet i visionOS 26.5
I dette dokument beskrives sikkerhedsindholdet i visionOS 26.5.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
visionOS 26.5
Udgivet 11. maj 2026
Accelerate
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis omgå visse indstillinger for anonymitet
Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.
CVE-2026-28988: Asaf Cohen
APFS
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan forårsage uventet systemlukning
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2026-28959: Dave G.
App Intents
Fås til: Apple Vision Pro (alle modeller)
Effekt: En skadelig app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society
AppleJPEG
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt billede kan medføre DoS (denial-of-service)
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.
CVE-2026-1837
AppleJPEG
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.
CVE-2026-28956: impost0r (ret2plt)
Audio
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af en lydstream i et skadeligt mediearkiv kan afbryde processen
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2026-39869: David Ige fra Beryllium Security
CoreAnimation
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2026-28936: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs
CoreSymbolication
Fås til: Apple Vision Pro (alle modeller)
Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2026-28918: Niels Hofmans, anonym, der arbejder med TrendAI Zero Day Initiative
FileProvider
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: En konkurrencetilstand er løst via yderligere validering.
CVE-2026-43659: Alex Radocea
ImageIO
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.
CVE-2026-28977: Suresh Sundaram
ImageIO
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Fås til: Apple Vision Pro (alle modeller)
Effekt: En hacker kan forårsage uventet applukning
Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er løst via forbedret låsning.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan forårsage uventet systemlukning
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Fås til: Apple Vision Pro (alle modeller)
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret inputvalidering.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)
LaunchServices
Fås til: Apple Vision Pro (alle modeller)
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Fås til: Apple Vision Pro (alle modeller)
Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Fås til: Apple Vision Pro (alle modeller)
Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative
Networking
Fås til: Apple Vision Pro (alle modeller)
Effekt: Hackere kan muligvis spore brugere via deres IP-adresse
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: En hacker med fjernadgang kan muligvis udløse pludselig applukning
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2026-28846: Peter Malone
Shortcuts
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.
CVE-2026-28993: Doron Assness
Spotlight
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2026-28974: Andy Koo (@andykoo) fra Hexens
Status Bar
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan tage et billede af en brugers skærm
Beskrivelse: Et problem med appadgang til kameraets metadata blev løst via forbedret logik.
CVE-2026-28957: Adriatik Raci
Storage
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: En konkurrencetilstand er løst via yderligere validering.
CVE-2026-28996: Alex Radocea
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet
Beskrivelse: Problemet er løst via forbedret validering af input.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger
Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu og Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym, der arbejder med TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac og Kookhwan Lee, der arbejder med TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong/kakaogames
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst via forbedret databeskyttelse.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: En skadelig iframe kan muligvis bruge downloadindstillingerne for et andet websted
Beskrivelse: Problemet er løst via forbedret håndtering af brugergrænsefladen.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr og Nicholas Carlini med Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Problemet er løst via forbedret validering af input.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
Fås til: Apple Vision Pro (alle modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu fra Palo Alto Networks, Jérôme DJOUDER, dr3dd
zlib
Fås til: Apple Vision Pro (alle modeller)
Effekt: Et besøg på et skadeligt websted kan medføre afsløring af følsomme data
Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.
CVE-2026-28920: Brendon Tiszka fra Google Project Zero
Yderligere anerkendelser
App Intents
Vi vil gerne takke Mikael Kinnman for hjælpen.
Apple Account
Vi vil gerne takke Iván Savransky, YingQi Shi (@Mas0nShi) fra DBAppSecurity's WeBin lab for hjælpen.
AuthKit
Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.
CoreUI
Vi vil gerne takke Mustafa Calap for hjælpen.
ICU
Vi vil gerne takke en anonym programmør for hjælpen.
Kernel
Vi vil gerne takke Ryan Hileman via Xint Code (xint.io), en anonym programmør for hjælpen.
libnetcore
Vi vil gerne takke Chris Staite og David Hardy fra Menlo Security Inc for hjælpen.
Libnotify
Vi vil gerne takke Ilias Morad (@A2nkF_) for hjælpen.
Lokalitet
Vi vil gerne takke Kun Peeks (@SwayZGl1tZyyy) for hjælpen.
Vi vil gerne takke Himanshu Bharti (@Xpl0itme) fra Khatima for hjælpen.
mDNSResponder
Vi vil gerne takke Jason Grove for hjælpen.
Notes
Vi vil gerne takke Asilbek Salimov for hjælpen.
Siri
Vi vil gerne takke Yoav Magid for hjælpen.
WebKit
Vi vil gerne takke Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich for hjælpen.
WebRTC
Vi vil gerne takke Hyeonji Son (@jir4vv1t) fra Demon Team for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.