Tietoja visionOS 26:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 26:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

visionOS 26

AppleMobileFileIntegrity

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43344: nimetön tutkija

Audio

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Bluetooth

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43354: Csaba Fitzl (@theevilbit, Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit, Kandji)

CloudKit

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43323: Yinyi Wu (@_3ndy1) (Dawn Security Lab, JD.com, Inc)

CoreAudio

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43349: @zlluny yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43372: 이동하 (Lee Dong Ha, SSA Lab)

DiskArbitration

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43316: Csaba Fitzl (@theevilbit, Kandji) ja nimetön tutkija

IOHIDFamily

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43302: Keisuke Hosoda

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: paikalliseen käyttöliittymään yhdistetty UDP-palvelinsoketti saattoi yhdistyä kaikkiin käyttöliittymiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43359: Viktor Oreshkin

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43345: Mickey Jin (@patch1t)

MobileStorageMounter

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43355: Dawuge (Shuffle Team)

Spell Check

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Saatavuus: Apple Vision Pro

Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa muistin korruptoitumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-6965

System

Saatavuus: Apple Vision Pro

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever) ja Luke Roberts (@rookuu)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-43356: Jaydev Ahire

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43272: Big Bear

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43343: nimetön tutkija

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43342: nimetön tutkija

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43376: Mike Cardwell (grepular.com), Bob Lord

Kiitokset

AuthKit

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

Calendar

Haluamme kiittää avusta Keisuke Chinonea (Iroiro).

CFNetwork

Haluamme kiittää avusta Christian Kohlschütteria.

Core Bluetooth

Haluamme kiittää avusta Leon Böttgeriä.

Control Center

Haluamme kiittää avusta Damitha Gunawardenaa.

CoreMedia

Haluamme kiittää avusta Noah Gregorya (wts.dev).

darwinOS

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

Files

Haluamme kiittää avusta Tyler Montgomerya.

Foundation

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

ImageIO

Haluamme kiittää avusta DongJun Kimiä (@smlijun) ja JongSeong Kimiä (@nevul37) (Enki WhiteHat).

IOGPUFamily

Haluamme kiittää avusta Wang Yuta (Cyberserval).

Kernel

Haluamme kiittää avusta Yepeng Pania ja Prof. Dr. Christian Rossow’ta.

libc

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

libpthread

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

libxml2

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

mDNSResponder

Haluamme kiittää avusta Barrett Lyonia.

Networking

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

Notes

Haluamme kiittää avusta Atul R V:tä.

Passwords

Haluamme kiittää avusta Christian Kohlschütteria.

Safari

Haluamme kiittää avusta Ameen Basha M K:ta.

Sandbox Profiles

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

Spotlight

Haluamme kiittää avusta Christian Scalesea.

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja henkilöä 要乐奈.

WebKit

Haluamme kiittää avusta Matthew Liangia.

Wi-Fi

Haluamme kiittää avusta Aobo Wangia (@M4x_1997), Csaba Fitzliä (@theevilbit, Kandji), Noah Gregorya (wts.dev), Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.