Tietoja visionOS 26:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 26:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

visionOS 26

AppleMobileFileIntegrity

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43344: nimetön tutkija

Audio

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Bluetooth

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43354: Csaba Fitzl (@theevilbit, Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit, Kandji)

CoreAudio

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43349: @zlluny yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43372: 이동하 (Lee Dong Ha), SSA Lab

DiskArbitration

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43316: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

IOHIDFamily

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43302: Keisuke Hosoda

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: paikalliseen liittymään liitetty UDP-vastake saattoi tulla liitetyksi kaikkiin liittymiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43355: Dawuge (Shuffle Team)

Spell Check

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Saatavuus: Apple Vision Pro

Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa muistin korruptoitumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-6965

System

Saatavuus: Apple Vision Pro

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-43356: Jaydev Ahire

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43272: Big Bear

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43343: nimetön tutkija

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43342: nimetön tutkija

Kiitokset

AuthKit

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

Calendar

Haluamme kiittää avusta Keisuke Chinonea (Iroiro).

CFNetwork

Haluamme kiittää avusta Christian Kohlschütteria.

CloudKit

Haluamme kiittää avusta Yinyi Wuta (@_3ndy1, Dawn Security Lab, JD.com, Inc.).

Control Center

Haluamme kiittää avusta Damitha Gunawardenaa.

CoreMedia

Haluamme kiittää avusta Noah Gregorya (wts.dev).

darwinOS

Haluamme kiittää avusta Nathaniel Ohia (@calysteon).

Files

Haluamme kiittää avusta Tyler Montgomerya.

Foundation

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

ImageIO

Haluamme kiittää avusta DongJun Kimiä (@smlijun) ja JongSeong Kimiä (@nevul37) (Enki WhiteHat).

IOGPUFamily

Haluamme kiittää avusta Wang Yuta (Cyberserval).

Kernel

Haluamme kiittää avusta Yepeng Pania ja Prof. Dr. Christian Rossowia.

libc

Haluamme kiittää avusta Nathaniel Ohia (@calysteon).

libpthread

Haluamme kiittää avusta Nathaniel Ohia (@calysteon).

libxml2

Haluamme kiittää avusta Nathaniel Ohia (@calysteon).

mDNSResponder

Haluamme kiittää avusta Barrett Lyonia.

Networking

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Notes

Haluamme kiittää avusta Atul R V:tä.

Passwords

Haluamme kiittää avusta Christian Kohlschütteria.

Safari

Haluamme kiittää avusta Ameen Basha M K:ta.

Sandbox Profiles

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

Spotlight

Haluamme kiittää avusta Christian Scalesea.

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja tutkijaa 要乐奈.

WebKit

Haluamme kiittää avusta Bob Lordia, Matthew Liangia ja Mike Cardwellia (grepular.com).

Wi-Fi

Haluamme kiittää avusta Aobo Wangia (@M4x_1997), Csaba Fitzliä (@theevilbit, Kandji), Noah Gregorya (wts.dev), Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.