מידע על תוכן האבטחה של visionOS 26.1
מסמך זה מתאר את תוכן האבטחה של visionOS 26.1.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 26.1
הופץ ב-3 בנובמבר 2025
Apple Account
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום זדוני עלול להיות מסוגל לצלם צילום מסך של מידע רגיש בתצוגות מוטבעות.
תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.
CVE-2025-43455: Ron Masas מ-BreakPoint.SH, Pinak Oza
Apple Neural Engine
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43447: חוקר אנונימי
CVE-2025-43462: חוקר אנונימי
AppleMobileFileIntegrity
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2023-42848: JZ
Audio
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף בעל גישה פיזית למכשיר לא נעול המשויך ל-Mac עלול להיות מסוגל להציג פרטי משתמש רגישים בעת התחברות למערכת
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-43436: Zhongcheng Li מ-IES Red Team של ByteDance
CoreText
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-43445: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
FileProvider
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיית פרטיות טופלה באמצעות העברה של נתונים רגישים.
CVE-2025-43507: iisBuri
Installer
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-43444: Zhongcheng Li מ-IES Red Team של ByteDance
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43398: Cristian Dinca (icmd.tech)
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: אפליקציה זדונית עלולה לגרום לשינויים בלתי צפויים בזיכרון שמשותף בין תהליכים
תיאור: בעיית השחתת זיכרון טופלה באמצעות בדיקה משופרת של מצב נעילה.
CVE-2025-43510: Apple
הרשומה נוספה ב-12 בדצמבר 2025
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43520: Apple
הרשומה נוספה ב-12 בדצמבר 2025
libxpc
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2025-43413: Dave G. ו-Alex Radocea מ-supernetworks.org
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף עלול להצליח לגרום למניעת שירות באופן תמידי
תיאור: בעיה בניתוח כותרות דוא"ל טופלה באמצעות בדיקות משופרות.
CVE-2025-43494: Taavi Eomäe מ-Zone Media (zone.ee)
הרשומה נוספה ב-12 בדצמבר 2025
Mail Drafts
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוכן מרחוק עלול להיטען גם כשההגדרה 'טעינת תמונות מרחוק' כבויה.
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme מ-Khatima
Model I/O
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43386: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2025-43385: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2025-43384: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2025-43383: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Notes
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.
CVE-2025-43439: Zhongcheng Li מצוות IES Red Team של ByteDance
Safari
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-43493: @RenwaX23
Safari
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2025-43503: @RenwaX23
Safari
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.
CVE-2025-43502: חוקר אנונימי
Sandbox Profiles
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 299843
CVE-2025-43443: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen מ-Google
WebKit Bugzilla: 298851
CVE-2025-43425: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 297662
CVE-2025-43438: rheza (@ginggilBesel), shandikri ביחד עם Trend Micro Zero Day Initiative
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
הרשומה עודכנה ב-12 בדצמבר 2025
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: מספר בעיות טופלו על-ידי השבתה של שימוש בקולט נתונים (sink) בהקצאת מערכים.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: אתר אינטרנט עלול לחלץ מקורות מרובים של נתוני תמונות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
תודות נוספות
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
MobileInstallation
אנחנו מבקשים להודות ל-Bubble Zhang על הסיוע.
Safari
אנחנו מבקשים להודות ל-Barath Stalin K ול-Syarif Muhammad Sajjad על הסיוע.
הרשומה עודכנה ב-12 בדצמבר 2025
Safari Downloads
אנחנו מבקשים להודות Saello Puza ול-Syarif Muhammad Sajjad על הסיוע.
הרשומה עודכנה ב-12 בדצמבר 2025
Shortcuts
אנחנו מבקשים להודות ל-BanKai, Benjamin Hornbeck, Chi Yuan Chang of ZUSO ART ו-taikosoup, Ryan May, Andrew James Gonzalez, חוקר אנונימי על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Enis Maholli (enismaholli.com), Google Big Sleep על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.