Tietoja visionOS 26.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 26.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

visionOS 26.1

Apple Account

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallinen appi saattoi pystyä ottamaan näyttökuvan arkaluontoisista tiedoista upotetuissa näkymissä.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2025-43455: Ron Masas (BreakPoint.SH), Pinak Oza

Apple Neural Engine

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43447: nimetön tutkija

CVE-2025-43462: nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2025-43407: JZ

Audio

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukitsemattomaan, Macin kanssa pariksi liitettyyn laitteeseen, saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja järjestelmän kirjauksessa.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43436: Zhongcheng Li (ByteDancen IES Red Team)

CoreText

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43445: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

FileProvider

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoisia tietoja.

CVE-2025-43507: iisBuri

Installer

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43444: Zhongcheng Li (ByteDancen IES Red Team)

Kernel

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2025-43413: Dave G. ja Alex Radocea (supernetworks.org)

Mail Drafts

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: etäsisältöä on ehkä voitu ladata, vaikka Lataa etäkuvat ‑asetus on ollut pois käytöstä

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti (@Xpl0itme, Khatima)

Model I/O

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43386: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43385: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43384: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2025-43383: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Notes

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-43439: Zhongcheng Li (ByteDancen IES Red Team)

Safari

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43493: @RenwaX23

Safari

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43503: @RenwaX23

Safari

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2025-43502: nimetön tutkija

Sandbox Profiles

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjän asetusten käsittelyä.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2025-43480: Aleksejs Popovs

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43443: nimetön tutkija

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen (Google)

CVE-2025-43425: nimetön tutkija

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43438: shandikri yhteistyössä Trend Micro Zero Day Initiativen kanssa

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CVE-2025-43434: Google Big Sleep

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2025-43432: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2025-43429: Google Big Sleep

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Vaikutus: useita ongelmia ratkaistiin poistamalla taulun varausten siirrot.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: verkkosivusto saattoi vuotaa kuvatietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-43392: Tom Van Goethem

Kiitokset

Mail

Haluamme kiittää avusta nimetöntä tutkijaa.

MobileInstallation

Haluamme kiittää avusta Bubble Zhangia.

Safari

Haluamme kiittää avusta Barath Stalin K:ta.

Safari Downloads

Haluamme kiittää avusta Saello Puzaa.

Shortcuts

Haluamme kiittää avusta BanKaita, Benjamin Hornbeckiä, Chi Yuan Changia (ZUSO ART, taikosoup), Ryan Mayta, Andrew James Gonzalezia ja nimetöntä tutkijaa.

WebKit

Haluamme kiittää avusta Enis Maholli (enismaholli.com, Google Big Sleep).