Acerca del contenido de seguridad de visionOS 26.5

En este documento, se describe el contenido de seguridad de visionOS 26.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

visionOS 26.5

Accelerate

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2026-28988: Asaf Cohen

APFS

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28959: Dave G.

App Intents

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

CVE-2026-28995: Vamshi Paili y Tony Gorez (@tonygo_) para Reverse Society

AppleJPEG

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar una denegación de servicio

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2026-1837

AppleJPEG

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.

CVE-2026-28956: impost0r (ret2plt)

Audio

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

CoreAnimation

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner y Riccardo Paccagnella

CoreServices

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs

CoreSymbolication

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2026-28918: Niels Hofmans e investigador anónimo en colaboración con la Zero Day Initiative de TrendAI

FileProvider

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-43659: Alex Radocea

ImageIO

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2026-28977: Suresh Sundaram

ImageIO

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28990: Jiri Ha y Arni Hardarson

IOHIDFamily

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking y Ashish Kunwar

Kernel

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43654: Vaagn Vardanian y Nathaniel Oh (@calysteon)

Kernel

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman a través de Xint Code (xint.io)

LaunchServices

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio

Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-43668: Anton Pakhunov y Ricardo Prado

mDNSResponder

Disponible para Apple Vision Pro (todos los modelos)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI

Networking

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un atacante podía rastrear a los usuarios a través de sus direcciones IP.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28846: Peter Malone

Shortcuts

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.

CVE-2026-28993: Doron Assness

Spotlight

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía provocar una denegación de servicio.

Descripción: A fin de solucionar este problema, se mejoraron las comprobaciones para impedir las acciones no autorizadas.

CVE-2026-28974: Andy Koo (@andykoo) of Hexens

Status Bar

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda realizar una captura de la pantalla del usuario

Descripción: Se mejoró la lógica para solucionar un problema con el acceso de la app a los metadatos de la cámara.

CVE-2026-28957: Adriatik Raci

Storage

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-28996: Alex Radocea

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se solucionó un problema de validación mejorando la lógica.

CVE-2026-43660: Cantina

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28907: Cantina

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.

Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43658: Do Young Park

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg) e investigador anónimo en colaboración con la Zero Day Initiative de TrendAI, y Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac y Kookhwan Lee en colaboración con la Zero Day Initiative de TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, y Nathaniel Oh (@calysteon)

CVE-2026-28901: equipo de investigación de seguridad ofensiva de Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern y Guido Vranken), Maher Azzouzi, Ngan Nguyen de Calif.io

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se mejoró la protección de datos.

CVE-2026-28958: Cantina

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un iframe malicioso podría utilizar la configuración de descargas de otro sitio web.

Descripción: Para solucionar este problema, se mejoró el manejo de IU.

CVE-2026-28971: Khiem Tran

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28942: Milad Nasr y Nicholas Carlini con Claude, Anthropic

CVE-2026-28947: dr3dd

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28917: Vitaly Simonovich

WebRTC

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28944: Kenneth Hsu de Palo Alto Networks, Jérôme DJOUDER, dr3dd

zlib

Disponible para Apple Vision Pro (todos los modelos)

Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.

Descripción: Se abordó una filtración de información con validación adicional.

CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google

Otros agradecimientos

App Intents

Nos gustaría darle las gracias a Mikael Kinnman por su ayuda.

Apple Account

Nos gustaría darle las gracias a Iván Savransky y YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.

AuthKit

Nos gustaría darle las gracias a Gongyu Ma (@Mezone0) por su ayuda.

CoreUI

Nos gustaría darle las gracias a Mustafa Calap por su ayuda.

ICU

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

Kernel

Nos gustaría darle las gracias a Ryan Hileman a través de Xint Code (xint.io), un investigador anónimo, por su ayuda.

libnetcore

Nos gustaría darle las gracias a Chris Staite y David Hardy de Menlo Security Inc por su ayuda.

Libnotify

Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.

Location

Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

Mail

Nos gustaría darle las gracias a Himanshu Bharti (@Xpl0itme) de Khatima por su ayuda.

mDNSResponder

Nos gustaría darle las gracias a Jason Grove por su ayuda.

Notes

Nos gustaría darle las gracias a Asilbek Salimov por su ayuda.

Siri

Nos gustaría darle las gracias a Yoav Magid por su ayuda.

WebKit

Nos gustaría darles las gracias a Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera y Vitaly Simonovich por su ayuda.

WebRTC

Nos gustaría darle las gracias a Hyeonji Son (@jir4vv1t) de Demon Team por su ayuda.