Acerca del contenido de seguridad de visionOS 26.1

En este documento, se describe el contenido de seguridad de visionOS 26.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

visionOS 26.1

Apple Account

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app creada con fines malintencionados podía tomar una captura de pantalla de información confidencial en vistas incorporadas.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de privacidad.

CVE-2025-43455: Ron Masas de BreakPoint.SH, Pinak Oza

Apple Neural Engine

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o dañar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43447: Un investigador anónimo

CVE-2025-43462: Un investigador anónimo

AppleMobileFileIntegrity

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía salir de su zona protegida

Descripción: Se mejoraron los derechos para solucionar este problema.

CVE-2025-43407: JZ

Audio

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un atacante con acceso físico a un dispositivo desbloqueado enlazado con una Mac podía ver información confidencial del usuario en los registros del sistema.

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía enumerar las aplicaciones instaladas por el usuario.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43436: Zhongcheng Li de IES Red Team de ByteDance

CoreText

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2025-43445: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

FileProvider

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Para solucionar un problema de privacidad, se trasladaron datos confidenciales.

CVE-2025-43507: iisBuri

Installer

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43444: Zhongcheng Li de IES Red Team de ByteDance

Kernel

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app aislada podía observar las conexiones de red de todo el sistema.

Descripción: Para solucionar un problema de acceso, se agregaron restricciones de la zona protegida.

CVE-2025-43413: Dave G. y Alex Radocea de supernetworks.org

Mail Drafts

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Se podía cargar contenido remoto aunque estuviera desactivada la opción 'Cargar imágenes'.

Descripción: Para solucionar el problema se agregó lógica adicional.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme de Khatima

Model I/O

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2025-43386: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

Notes

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Un problema de privacidad se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.

CVE-2025-43439: Zhongcheng Li de IES Red Team de ByteDance

Safari

Disponible para Apple Vision Pro (todos los modelos)

Impacto: visitar un sitio web creado con fines malintencionados podía provocar la suplantación de la barra de direcciones

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2025-43493: @RenwaX23

Safari

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que la visita a un sitio web creado con fines malintencionados pueda provocar la suplantación de la interfaz de usuario

Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.

CVE-2025-43503: @RenwaX23

Safari

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad

Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.

CVE-2025-43502: Un investigador anónimo

Sandbox Profiles

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se solucionó un problema de privacidad mejorando el manejo de las preferencias del usuario.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2025-43480: Aleksejs Popovs

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2025-43443: Un investigador anónimo

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen de Google

CVE-2025-43425: Un investigador anónimo

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoraron las comprobaciones

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2025-43438: shandikri, en colaboración con el programa Zero Day Initiative de Trend Micro

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

CVE-2025-43434: Google Big Sleep

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2025-43432: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2025-43429: Google Big Sleep

WebKit

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Se solucionaron varios problemas al desactivar la asignación de matrices.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Disponible para Apple Vision Pro (todos los modelos)

Impacto: Un sitio web podía exfiltrar orígenes cruzados de datos de imágenes.

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2025-43392: Tom Van Goethem

Otros agradecimientos

Mail

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

MobileInstallation

Nos gustaría darle las gracias a Bubble Zhang por su ayuda.

Safari

Nos gustaría darle las gracias a Barath Stalin K por su ayuda.

Safari Downloads

Nos gustaría darle las gracias a Saello Puza por su ayuda.

Shortcuts

Nos gustaría darles las gracias a BanKai, Benjamin Hornbeck, Chi Yuan Chang de ZUSO ART y taikosoup, Ryan May, Andrew James Gonzalez, un investigador anónimo por su ayuda.

WebKit

Nos gustaría darles las gracias a Enis Maholli (enismaholli.com) y Google Big Sleep por su ayuda.