מידע על תוכן האבטחה של visionOS 26.3
מסמך זה מתאר את תוכן האבטחה של visionOS 26.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 26.3
הופץ ב-11 בפברואר 2026
AppleMobileFileIntegrity
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)
Bluetooth
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Bluetooth בעלות מבנה זדוני
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2026-20650: jioundai
CFNetwork
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: משתמש מרוחק עלול להצליח לכתוב קבצים שרירותיים
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2026-20660: Amy (amys.website)
CoreAudio
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-20611: אנונימי בעבודה עם Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)
CoreServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) מ-Iru
CoreServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2026-20615: Csaba Fitzl (@theevilbit) מ-Iru ו-Gergely Kalman (@gergely_kalman)
CoreServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הייתה בעיה בטיפול במשתני סביבה. בעיה זו טופלה באמצעות שיפור האימות.
CVE-2026-20627: חוקר אנונימי
dyld
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף עם יכולת כתיבת זיכרון עלול להצליח להפעיל קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה בהתקפה מתוחכמת במיוחד כנגד אנשים ספציפיים בגרסאות iOS שקדמו ל-iOS 26. CVE-2025-14174 ו-CVE-2025-43529 הופקו גם כן בתגובה לדיווח זה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2026-20700: Google Threat Analysis Group
ImageIO
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2026-20675: George Karchemsky (@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20634: George Karchemsky (@gkarchemsky) בעבודה עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20654: Jian Lee (@speedyfriend433)
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2026-20626: Keisuke Hosoda
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libexpat
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-59375
Messages
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: קיצור דרך עלול להצליח לעקוף הגבלות של 'ארגז החול'
תיאור: מצב מרוץ טופל באמצעות טיפול משופר בקישורים סימבוליים.
CVE-2026-20677: Ron Masas מ-BreakPoint.SH
Model I/O
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-20616: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Sandbox
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2026-20628: Noah Gregory (wts.dev)
Shortcuts
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2026-20653: Enis Maholli (enismaholli.com)
StoreKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש
תיאור: בעיית פרטיות טופלה באמצעות בדיקות משופרות.
CVE-2026-20641: Gongyu Ma (@Mezone0)
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 303959
CVE-2026-20652: Nathaniel Oh (@calysteon)
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 303357
CVE-2026-20608: HanQing מ-TSDubhe ו-Nan Wang (@eternalsakura13)
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ייתכן שאתר אינטרנט יוכל לעקוב אחר משתמשים באמצעות הרחבות אינטרנט של Safari
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 305020
CVE-2026-20676: Tom Van Goethem
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 303444
CVE-2026-20644: HanQing מ-TSDubhe ו-Nan Wang (@eternalsakura13)
WebKit Bugzilla: 304657
CVE-2026-20636: EntryHi
WebKit Bugzilla: 304661
CVE-2026-20635: EntryHi
Wi-Fi
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20621: Wang Yu מ-Cyberserval
תודות נוספות
Bluetooth
אנחנו מבקשים להודות ל-Tommaso Sacchetti על הסיוע.
Kernel
אנחנו מבקשים להודות ל-Joseph Ravichandran (@0xjprx) מ-MIT CSAIL ול-Xinru Chi מ-Pangu Lab על הסיוע.
libpthread
אנחנו מבקשים להודות ל-Fabiano Anemone על הסיוע.
NetworkExtension
אנחנו מבקשים להודות ל-Gongyu Ma (@Mezone0) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Robert Reichel על הסיוע.
Transparency
אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing (wojciechregula.blog) על הסיוע.
Wallet
אנחנו מבקשים להודות ל-Lorenzo Santina (@BigNerd95) ול-Marco Bartoli (@wsxarcher) על הסיוע.
WebKit
אנחנו מבקשים להודות ל-David Wood, ל-EntryHi, ל-Luigino Camastra מ-Aisle Research, ל-Stanislav Fort מ-Aisle Research, לVsevolod Kokorin (Slonser) מ-Solidlab ול-Jorian Woltjer על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.