En este documento, se describe el contenido de seguridad de visionOS 26.5.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el 11 de mayo de 2026
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2026-28988: Asaf Cohen
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28959: Dave G.
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2026-28995: Vamshi Paili y Tony Gorez (@tonygo_) para Reverse Society
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar una denegación de servicio
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2026-1837
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.
CVE-2026-28956: impost0r (ret2plt)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-39869: David Ige de Beryllium Security
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner y Riccardo Paccagnella
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2026-28936: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2026-28918: Niels Hofmans e investigador anónimo en colaboración con la Zero Day Initiative de TrendAI
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-43659: Alex Radocea
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2026-28977: Suresh Sundaram
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-28990: Jiri Ha y Arni Hardarson
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2026-28992: Johnny Franks (@zeroxjf)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking y Ashish Kunwar
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-43654: Vaagn Vardanian y Nathaniel Oh (@calysteon)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman a través de Xint Code (xint.io)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.
CVE-2026-28983: Ruslan Dautov
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2026-43668: Anton Pakhunov y Ricardo Prado
Disponible para Apple Vision Pro (todos los modelos)
Impacto: un atacante en la red local puede provocar una denegación de servicio
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Un atacante podía rastrear a los usuarios a través de sus direcciones IP.
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2026-28906: Ilya Sc. Jowell A.
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2026-28846: Peter Malone
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2026-28993: Doron Assness
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía provocar una denegación de servicio.
Descripción: A fin de solucionar este problema, se mejoraron las comprobaciones para impedir las acciones no autorizadas.
CVE-2026-28974: Andy Koo (@andykoo) of Hexens
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Es posible que una app pueda realizar una captura de la pantalla del usuario
Descripción: Se mejoró la lógica para solucionar un problema con el acceso de la app a los metadatos de la cámara.
CVE-2026-28957: Adriatik Raci
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2026-28996: Alex Radocea
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se solucionó un problema de validación mejorando la lógica.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
Disponible para Apple Vision Pro (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg) e investigador anónimo en colaboración con la Zero Day Initiative de TrendAI, y Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac y Kookhwan Lee en colaboración con la Zero Day Initiative de TrendAI
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, y Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: equipo de investigación de seguridad ofensiva de Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern y Guido Vranken), Maher Azzouzi, Ngan Nguyen de Calif.io
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Para solucionar este problema, se mejoró la protección de datos.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
Disponible para Apple Vision Pro (todos los modelos)
Impacto: Un iframe malicioso podría utilizar la configuración de descargas de otro sitio web.
Descripción: Para solucionar este problema, se mejoró el manejo de IU.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
Disponible para Apple Vision Pro (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr y Nicholas Carlini con Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
Disponible para Apple Vision Pro (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu de Palo Alto Networks, Jérôme DJOUDER, dr3dd
Disponible para Apple Vision Pro (todos los modelos)
Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.
Descripción: Se abordó una filtración de información con validación adicional.
CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google
Nos gustaría darle las gracias a Mikael Kinnman por su ayuda.
Nos gustaría darle las gracias a Iván Savransky y YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.
Nos gustaría darle las gracias a Gongyu Ma (@Mezone0) por su ayuda.
Nos gustaría darle las gracias a Mustafa Calap por su ayuda.
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
Nos gustaría darle las gracias a Ryan Hileman a través de Xint Code (xint.io), un investigador anónimo, por su ayuda.
Nos gustaría darle las gracias a Chris Staite y David Hardy de Menlo Security Inc por su ayuda.
Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.
Nos gustaría darle las gracias a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.
Nos gustaría darle las gracias a Himanshu Bharti (@Xpl0itme) de Khatima por su ayuda.
Nos gustaría darle las gracias a Jason Grove por su ayuda.
Nos gustaría darle las gracias a Asilbek Salimov por su ayuda.
Nos gustaría darle las gracias a Yoav Magid por su ayuda.
Nos gustaría darles las gracias a Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera y Vitaly Simonovich por su ayuda.
Nos gustaría darle las gracias a Hyeonji Son (@jir4vv1t) de Demon Team por su ayuda.