Tietoja visionOS 26.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 26.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

visionOS 26.4

802.1X

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Accounts

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Audio

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

CoreMedia

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa käsittelyn.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: curlissa oli ongelma, joka saattoi aiheuttaa arkaluontoisten tietojen lähettämisen tahattomasti väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

DeviceLink

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2026-28876: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)

GeoServices

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

iCloud

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

Kernel

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Printing

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2026-20688: wdszzml ja Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: paikallinen hyökkääjä saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

Kuvaus: ongelma on ratkaistu parantamalla lupien tarkistusta.

CVE-2026-28864: Alex Radocea

Siri

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2026-28856: nimetön tutkija

UIFoundation

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20665: webb

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Navigation API -rajapinnan ristilähdeongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-20643: Thomas Espach

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallinen verkkosivusto saattoi pystyä käyttämään muihin alkuperiin tarkoitettuja komentosarjojen viestikäsittelijöitä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2026-28861: Hongze Wu ja Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallinen verkkosivusto saattoi pystyä käsittelemään rajoitettua verkkosisältöä eristyksen ulkopuolella.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky ja Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Saatavuus: Apple Vision Pro (kaikki mallit)

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Kiitokset

AirPort

Haluamme kiittää avusta Yashar Shahinzadehia, Saman Ebrahimnezhadia, Amir Safaria ja Omid Rezaiia.

Bluetooth

Haluamme kiittää avusta Hamid Mahmoudia.

Captive Network

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

CipherML

Haluamme kiittää avusta Nils Hanffia (@nils1729@chaos.social, Hasso Plattner Institute).

CloudAttestation

Haluamme kiittää avusta Suresh Sundaramia ja Willard Jansenia.

CoreUI

Haluamme kiittää avusta Peter Malonea.

Find My

Haluamme kiittää avusta Salemdomainia.

GPU Drivers

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ICU

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

Kernel

Haluamme kiittää avusta DARKNAVYA (@DarkNavyOrg), Kylian Boulard De Pouquevillea (Fuzzinglabs), Patrick Ventuzeloa (Fuzzinglabs), Robert Trania ja Suresh Sundaramia.

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs) ja Arni Hardarsonia.

libc

Haluamme kiittää avusta Vitaly Simonovichia.

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

LLVM

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

Messages

Haluamme kiittää avusta JZ:aa.

MobileInstallation

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Music

Haluamme kiittää avusta Mohammad Kaifia (@_mkahmad | kaif0x01).

Notes

Haluamme kiittää avusta Dawugea (Shuffle Team) ja Hunan Universityä.

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Quick Look

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta @RenwaX23:a, Farras Givaria, Syarif Muhammad Sajjadia ja Yairia.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Siri

Haluamme kiittää avusta Anand Mallayaa, teknistä konsulttia, Anand Mallayaa ja kumppaneita, Harsh Kirdoliaa ja Hrishikesh Parmaria (Self-Employed).

Aikavyöhyke

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India).

UIKit

Haluamme kiittää avusta AEC:tä, Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India), Bishal Kaflea (@whoisbishal.k), Carlos Lunaa (U.S. Department of the Navy), Dalibor Milanovicia, Daren Goodchildia, JS De Matteita, Maxwell Garnia, Zack Tickmania, fuyuu12:ta ja incredincompia.

Wallet

Haluamme kiittää avusta Zhongcheng Litä (IES Red Team, ByteDance).

Web Extensions

Haluamme kiittää avusta Carlos Jeurissenia ja Rob Wuta (robwu.nl).

WebKit

Haluamme kiittää avusta Vamshi Pailia.

WebKit Process Model

Haluamme kiittää avusta Joseph Semaania.

Wi-Fi

Haluamme kiittää avusta Kun Peeksia (@SwayZGl1tZyyy) ja nimetöntä tutkijaa.

Wi-Fi Connectivity

Haluamme kiittää avusta Alex Radoceaa (Supernetworks, Inc).

Widgets

Haluamme kiittää avusta Marcel Voßia, Mitul Pranjayta ja Serok Çelikiä.