Tietoja visionOS 26.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan visionOS 26.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
visionOS 26.5
Julkaistu 11.5.2026
Accelerate
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä ohittamaan tietyt Yksityisyysasetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2026-28988: Asaf Cohen
APFS
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2026-28959: Dave G.
App Intents
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_, Reverse Society)
AppleJPEG
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2026-1837
AppleJPEG
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2026-28956: impost0r (ret2plt)
Audio
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-39869: David Ige (Beryllium Security)
CoreAnimation
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2026-28936: Andreas Jaegersberger ja Ro Achterberg (Nosebeard Labs)
CoreSymbolication
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-28918: Niels Hofmans, TrendAI Zero Day Initiativen parissa työskentelevä nimetön henkilö
FileProvider
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2026-43659: Alex Radocea
ImageIO
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2026-28977: Suresh Sundaram
ImageIO
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte.) Ltd., Robert Tran, Aswin Kumar Gokulakannan
Kernel
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927, STAR Labs SG Pte.) Ltd., Ryan Hileman via Xint Code (xint.io)
LaunchServices
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)
Networking
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Hyökkääjä saattoi pystyä seuraamaan käyttäjiä IP-osoitteen kautta.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2026-28846: Peter Malone
Shortcuts
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.
CVE-2026-28993: Doron Assness
Spotlight
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2026-28974: Andy Koo (@andykoo, Hexens)
Status Bar
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.
Kuvaus: Kameran metatietojen käyttöoikeusongelma apeissa on korjattu parantamalla logiikkaa.
CVE-2026-28957: Adriatik Raci
Storage
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2026-28996: Alex Radocea
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja
Kuvaus: ongelma on ratkaistu parantamalla käyttörajoituksia.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ja Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), TrendAI Zero Day Initiativen parissa työskentelevä nimetön henkilö, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac ja Kookhwan Lee (TrendAI Zero Day Initiative)
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec, Talence Security), Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: käytävähyökkäysten suojaustutkimusryhmä (Joshua Rogers, Luigino Camastra, Igor Morgenstern ja Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallinen iframe pystyi käyttämään toisen verkkosivuston latausasetuksia.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr ja Nicholas Carlini (Claude, Anthropic)
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd
zlib
Saatavuus: Apple Vision Pro (kaikki mallit)
Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.
Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.
CVE-2026-28920: Brendon Tiszka (Google Project Zero)
Kiitokset
App Intents
Haluamme kiittää avusta Mikael Kinnmania.
Apple Account
Haluamme kiittää avusta Iván Savranskyä ja YingQi Shitä (@Mas0nShi, DBAppSecurity's WeBin lab).
AuthKit
Haluamme kiittää avusta Gongyu Mata (@Mezone0).
CoreUI
Haluamme kiittää avusta Mustafa Calapia.
ICU
Haluamme kiittää avusta nimetöntä tutkijaa.
Kernel
Haluamme kiittää avusta Ryan Hilemania (Xint Code, xint.io) ja nimetöntä tutkijaa.
libnetcore
Haluamme kiittää avusta Chris Staitea ja David Hardyä (Menlo Security Inc).
Libnotify
Haluamme kiittää avusta Ilias Moradia (@A2nkF_).
Location
Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).
Haluamme kiittää avusta Himanshu Bhartia (@Xpl0itme, Khatima).
mDNSResponder
Haluamme kiittää avusta Jason Grovea.
Notes
Haluamme kiittää avusta Asilbek Salimovia.
Siri
Haluamme kiittää avusta Yoav Magidia.
WebKit
Haluamme kiittää avusta Muhammad Zaid Ghifaria (Mr.ZheeV), Kalimantan Utaraa, Qadhafy Muhammad Teraa ja Vitaly Simonovichia.
WebRTC
Haluamme kiittää avusta Hyeonji Sonia (@jir4vv1t, Demon Team).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.