מידע על תוכן האבטחה של visionOS 26.1

מסמך זה מתאר את תוכן האבטחה של visionOS 26.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

visionOS 26.1

הופץ ב-3 בנובמבר 2025

Apple Account

זמין עבור Apple Vision Pro (כל הדגמים)

השפעה: יישום זדוני עלול להיות מסוגל לצלם צילום מסך של מידע רגיש בתצוגות מוטבעות

תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.

CVE-2025-43455‏: Ron Masas מ-BreakPoint.SH‏, Pinak Oza

Apple Neural Engine

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43447: חוקר אנונימי

CVE-2025-43462: חוקר אנונימי

AppleMobileFileIntegrity

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

379333: ‏Gergely Kalman‏ (‎@gergely_kalman)

Assets

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2025-43407‏: JZ

Audio

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוקף בעל גישה פיזית למכשיר לא נעול המקושר ל-Mac עלול להיות מסוגל להציג פרטי משתמש רגישים בעת ההתחברות למערכת

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2025-43423‏: Duy Trần‏ (‎@khanhduytran0)

CloudKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2025-43448: ‏Hikerell ‏(Loadshine Lab)

CoreServices

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43436‏: Zhongcheng Li מ-IES Red Team של ByteDance

CoreText

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43445: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

FileProvider

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43498: ‏pattern-f‏ (‎@pattern_F_‎)

Find My

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית פרטיות טופלה באמצעות העברה של נתונים רגישים.

CVE-2025-43507‏: iisBuri

Installer

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-43444‏: Zhongcheng Li מ-IES Red Team של ByteDance

Kernel

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43398‏: Cristian Dinca ‏(icmd.tech)

libxpc

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2025-43413‏: Dave G. ו-Alex Radocea מ-supernetworks.org

Mail Drafts

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוכן מרחוק עלול להיטען גם כשההגדרה 'טעינת תמונות מרחוק' כבויה.

תיאור: הבעיה טופלה על ידי הוספת לוגיקה.

CVE-2025-43496‏: Romain Lebesle‏, Himanshu Bharti @Xpl0itme מ-Khatima

Model I/O

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43386: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43385: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43384: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43383: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

Notes

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-43389: ‏Kirin‏ (‎@Pwnrin)

On-device Intelligence

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2025-43439‏: Zhongcheng Li מ-IES Red Team של ByteDance

Safari

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-43493: ‏‎@RenwaX23

Safari

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43503: ‏‎@RenwaX23

Safari

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2025-43502: חוקר אנונימי

Sandbox Profiles

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2025-43500‏: Stanislav Jelezoglo

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 276208

CVE-2025-43480‏: Aleksejs Popovs

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 296693

CVE-2025-43458‏: Phil Beauvoir

WebKit Bugzilla‏: 298196

CVE-2025-43430‏: Google Big Sleep

WebKit Bugzilla‏: 298628

CVE-2025-43427‏: Gary Kwong‏, rheza‏ (@ginggilBesel)

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 299843

CVE-2025-43443: חוקר אנונימי

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 298496

CVE-2025-43441: ‏rheza‏ (‎@ginggilBesel)

WebKit Bugzilla‏: 299391

CVE-2025-43435‏: Justin Cohen נ-Google

WebKit Bugzilla‏: 298851

CVE-2025-43425: חוקר אנונימי

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

WebKit Bugzilla‏: 298126

CVE-2025-43440: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 297662

CVE-2025-43438‏: shandikri ביחד עם Trend Micro Zero Day Initiative‏

WebKit Bugzilla‏: 298606

CVE-2025-43457: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit Bugzilla‏: 297958

CVE-2025-43434‏: Google Big Sleep

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 298093

CVE-2025-43433‏: Google Big Sleep

WebKit Bugzilla‏: 298194

CVE-2025-43431‏: Google Big Sleep

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 299313

CVE-2025-43432: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

WebKit Bugzilla‏: 298232

CVE-2025-43429‏: Google Big Sleep

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: מספר בעיות טופלו על-ידי השבתה של שימוש בקולט נתונים (sink) בהקצאת מערכים.

WebKit Bugzilla‏: 300718

CVE-2025-43421: ‏Nan Wang ‏(‎@eternalsakura13)

WebKit Canvas

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: אתר אינטרנט עלול לחלץ מקורות מרובים של נתוני תמונות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

WebKit Bugzilla‏: 297566

CVE-2025-43392‏: Tom Van Goethem

הכרה נוספת

Mail

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

MobileInstallation

אנחנו מבקשים להודות ל-Bubble Zhang על הסיוע.

Safari

אנחנו מבקשים להודות ל-Barath Stalin K על הסיוע.

Safari Downloads

אנחנו מבקשים להודות ל-Saello Puza על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-BanKai‏, Benjamin Hornbeck‏, Chi Yuan Chang מ-ZUSO ART ו-taikosoup‏, Ryan May‏, Andrew James Gonzalez, חוקר אנונימי על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Enis Maholli‏ (enismaholli.com)‏, Google Big Sleep על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 07 בנובמבר 2025