Acerca del contenido de seguridad de visionOS 26.1

En este documento se describe el contenido de seguridad de visionOS 26.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

visionOS 26.1

Apple Account

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app creada con fines malintencionados podría hacer una captura de pantalla de información confidencial en vistas integradas.

Descripción: se ha solucionado un problema de privacidad mejorando las comprobaciones.

CVE-2025-43455: Ron Masas de BreakPoint.SH, Pinak Oza

Apple Neural Engine

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43447: un investigador anónimo

CVE-2025-43462: un investigador anónimo

AppleMobileFileIntegrity

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las certificaciones.

CVE-2025-43407: JZ

Audio

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: un atacante con acceso físico a un dispositivo desbloqueado y enlazado con un Mac podría ver información confidencial del usuario en el registro del sistema.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43436: Zhongcheng Li del IES Red Team de ByteDance

CoreText

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2025-43445: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

FileProvider

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de privacidad trasladando datos confidenciales.

CVE-2025-43507: iisBuri

Installer

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-43444: Zhongcheng Li del IES Red Team de ByteDance

Kernel

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app en la zona protegida podría ser capaz de observar las conexiones de red de todo el sistema.

Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.

CVE-2025-43413: Dave G. y Alex Radocea de supernetworks.org

Mail Drafts

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: podría cargarse contenido remoto aunque el ajuste «Cargar imágenes remotas» esté desactivado.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

Model I/O

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43386: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Notes

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-43439: Zhongcheng Li del IES Red Team de ByteDance

Safari

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-43493: @RenwaX23

Safari

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2025-43503: @RenwaX23

Safari

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-43502: un investigador anónimo

Sandbox Profiles

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de las preferencias del usuario.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-43480: Aleksejs Popovs

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2025-43443: un investigador anónimo

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen de Google

CVE-2025-43425: un investigador anónimo

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: este problema se ha solucionado mejorando las comprobaciones

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-43438: shandikri en colaboración con Trend Micro Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-43432: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2025-43429: Google Big Sleep

WebKit

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se han solucionado varios problemas mediante la deshabilitación del uso de la función sink para la asignación de matrices.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Disponible para: Apple Vision Pro (todos los modelos)

Impacto: un sitio web podría ocasionar el filtrado de los datos de imagen en orígenes cruzados.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2025-43392: Tom Van Goethem

Otros agradecimientos

Mail

Queremos dar las gracias a un investigador anónimo por su ayuda.

MobileInstallation

Queremos dar las gracias a Bubble Zhang por su ayuda.

Safari

Queremos dar las gracias a Barath Stalin K por su ayuda.

Safari Downloads

Queremos dar las gracias a Saello Puza por su ayuda.

Shortcuts

Queremos dar las gracias a BanKai, Benjamin Hornbeck, Chi Yuan Chang de ZUSO ART, taikosoup, Ryan May, Andrew James Gonzalez y un investigador anónimo por su ayuda.

WebKit

Queremos dar las gracias a Enis Maholli (enismaholli.com) y Google Big Sleep por su ayuda.