En este documento, se describe el contenido de seguridad de visionOS 26.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el lunes, 15 de septiembre de 2025
Disponible para: Apple Vision Pro
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43317: Mickey Jin (@patch1t)
Disponible para: Apple Vision Pro
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43344: Un investigador anónimo
Disponible para: Apple Vision Pro
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43346: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para: Apple Vision Pro
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2025-43354: Csaba Fitzl (@theevilbit) de Kandji
CVE-2025-43303: Csaba Fitzl (@theevilbit) de Kandji
Disponible para: Apple Vision Pro
Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2025-43349: @zlluny, en colaboración con programa Zero Day Initiative de Trend Micro
Disponible para: Apple Vision Pro
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la validación de entradas para solucionar el problema.
CVE-2025-43372: 이동하 (Lee Dong Ha) de SSA Lab
Disponible para: Apple Vision Pro
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root.
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43316: Csaba Fitzl (@theevilbit) de Kandji, un investigador anónimo
Disponible para: Apple Vision Pro
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-43302: Keisuke Hosoda
Disponible para: Apple Vision Pro
Impacto: Es posible que un socket de servidor UDP vinculado a una interfaz local pueda quedar vinculado a todas las interfaces
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2025-43359: Viktor Oreshkin
Disponible para: Apple Vision Pro
Impacto: Es posible que una app pueda provocar una denegación de servicio
Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.
CVE-2025-43355: Dawuge de Shuffle Team
Disponible para: Apple Vision Pro
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.
CVE-2025-43190: Noah Gregory (wts.dev)
Disponible para: Apple Vision Pro
Impacto: El procesamiento de un archivo podía generar daños en la memoria.
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-6965
Disponible para: Apple Vision Pro
Impacto: Se solucionó un problema de validación de entradas
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)
Disponible para: Apple Vision Pro
Impacto: Un sitio web podía acceder a la información del sensor sin el consentimiento del usuario.
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
WebKit Bugzilla: 296153
CVE-2025-43356: Jaydev Ahire
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 294550
CVE-2025-43272: Big Bear
Disponible para: Apple Vision Pro
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 296490
CVE-2025-43343: Un investigador anónimo
Disponible para: Apple Vision Pro
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.
WebKit Bugzilla: 296042
CVE-2025-43342: Un investigador anónimo
Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.
Nos gustaría darle las gracias a Keisuke Chinone (Iroiro) por su ayuda.
Nos gustaría darle las gracias a Christian Kohlschütter por su ayuda.
Nos gustaría darle las gracias a Yinyi Wu (@_3ndy1) de Dawn Security Lab de JD.com, Inc por su ayuda.
Nos gustaría darle las gracias a Damitha Gunawardena por su ayuda.
Nos gustaría darle las gracias a Noah Gregory (wts.dev) por su ayuda.
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Nos gustaría darle las gracias a Tyler Montgomery por su ayuda.
Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.
Nos gustaría darles las gracias a DongJun Kim (@smlijun) y a JongSeong Kim (@nevul37) de Enki WhiteHat por su ayuda.
Nos gustaría darle las gracias a Wang Yu de Cyberserval por su ayuda.
Nos gustaría darles las gracias a Yepeng Pan y al Prof. Dr. Christian Rossow por su ayuda.
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Nos gustaría darle las gracias a Barrett Lyon por su ayuda.
Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.
Nos gustaría darle las gracias a Atul R V por su ayuda.
Nos gustaría darle las gracias a Christian Kohlschütter por su ayuda.
Queremos mostrar nuestro agradecimiento por su ayuda a Ameen Basha M K.
Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.
Nos gustaría darle las gracias a Christian Scalese por su ayuda.
Nos gustaría darles las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a 要乐奈 por su ayuda.
Nos gustaría darles las gracias a Bob Lord, Matthew Liang y Mike Cardwell de grepular.com por su ayuda.
Nos gustaría darles las gracias a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y a un investigador anónimo por su ayuda.