מידע על תוכן האבטחה של visionOS 26

מסמך זה מתאר את תוכן האבטחה של visionOS 26.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

visionOS 26

AppleMobileFileIntegrity

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43317: ‏Mickey Jin‏ (‎@patch1t)

Apple Neural Engine

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43344: חוקר אנונימי

Audio

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43346: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Bluetooth

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43354: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

CVE-2025-43303: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji

CoreAudio

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43349‏: ‎@zlluny ביחד עם Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.

CVE-2025-43372‏: 이동하 (‏Lee Dong Ha) מ-SSA Lab

DiskArbitration

זמין עבור: Apple Vision Pro

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43316: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Kandji, חוקר אנונימי

IOHIDFamily

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43302‏: Keisuke Hosoda

Kernel

זמין עבור: Apple Vision Pro

השפעה: נקודת קצה (socket) של שרת UDP שמאוגדת לממשק מקומי עלולה להפוך להיות מאוגדת לכל הממשקים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43359‏: Viktor Oreshkin

MobileStorageMounter

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43355: ‏Dawuge מ-Shuffle Team

Spell Check

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2025-43190‏: Noah Gregory ‏(wts.dev)

SQLite

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-6965

System

זמין עבור: Apple Vision Pro

השפעה: טופלה בעיה באימות קלט

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43347‏: JZ, Seo Hyun-gyu‏ (‎@wh1te4ever)‏, Luke Roberts ‏(‎@rookuu)

WebKit

זמין עבור: Apple Vision Pro

השפעה: אתר אינטרנט עלול להצליח לגשת למידע מחיישן ללא הסכמת המשתמש

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2025-43356‏: Jaydev Ahire

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43272‏: Big Bear

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43343: חוקר אנונימי

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.

CVE-2025-43342: חוקר אנונימי

הכרה נוספת

AuthKit

אנחנו מבקשים להודות ל-Rosyna Keller מ-Totally Not Malicious Software על הסיוע.

Calendar

אנחנו מבקשים להודות ל-Keisuke Chinone (‏Iroiro) על הסיוע.

CFNetwork

אנחנו רוצים להודות ל-Christian Kohlschütter על הסיוע.

CloudKit

אנחנו מבקשים להודות ל-Yinyi Wu ‏(‎@_3ndy1) מ-Dawn Security Lab ב-JD.com, Inc על הסיוע.

Control Center

אנחנו מבקשים להודות ל-Damitha Gunawardena על הסיוע.

CoreMedia

אנחנו מבקשים להודות ל-Noah Gregory‏ (wts.dev) על הסיוע.

darwinOS

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

Files

אנחנו מבקשים להודות ל-Tyler Montgomery על הסיוע.

Foundation

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-DongJun Kim‏ (‎@smlijun) ול-JongSeong Kim ‏(‎@nevul37) ב-Enki WhiteHat על הסיוע.

IOGPUFamily

אנחנו מבקשים להודות ל-Wang Yu מ-Cyberserval על הסיוע.

Kernel

אנחנו מבקשים להודות ל-Yepeng Pan ולפרופ' ד"ר Christian Rossow על הסיוע.

libc

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

libpthread

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

libxml2

אנחנו מבקשים להודות ל-Nathaniel Oh ‏(‎@calysteon) על הסיוע.

mDNSResponder

אנחנו מבקשים להודות ל-Barrett Lyon על הסיוע.

Networking

אנחנו מבקשים להודות ל-Csaba Fitzl‏ (@theevilbit) מ-Kandji על הסיוע.

Notes

אנחנו מבקשים להודות ל-Atul R V על הסיוע.

Passwords

אנחנו רוצים להודות ל-Christian Kohlschütter על הסיוע.

Safari

אנו רוצים להודות ל-Ameen Basha M K על הסיוע.

Sandbox Profiles

אנחנו מבקשים להודות ל-Rosyna Keller מ-Totally Not Malicious Software על הסיוע.

Spotlight

אנחנו מבקשים להודות ל-Christian Scalese על הסיוע.

Transparency

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing ‏(wojciechregula.blog)‏, 要乐奈 על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Bob Lord, ל-Matthew Liang, ול-Mike Cardwell מ-grepular.com על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Aobo Wang ‏(‎@M4x_1997), ל-Csaba Fitzl ‏(‎@theevilbit) מ-Kandji, ל-Noah Gregory (‏wts.dev), ל-Wojciech Regula מ-SecuRing (‏wojciechregula.blog) ולחוקר אנונימי על הסיוע.