מידע על תוכן האבטחה של visionOS 26.4

המסמך מתאר את תוכן האבטחה של visionOS 26.4.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

visionOS 26.4

802.1X

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28865‏: Héloïse Gollier ו-Mathy Vanhoef ‏(KU Leuven)

Accounts

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28877: ‏Rosyna Keller מ-Totally Not Malicious Software

Audio

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2026-28879‏: Justin Cohen מ-Google

Audio

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28822: ‏Jex Amro

CoreMedia

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2026-20690: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreUtils

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: משתמש במיקום רשת מורשה עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2026-28886: ‏Etienne Charron ‏(Renault) ו-Victoria Martini ‏(Renault)

Crash Reporter

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.

CVE-2026-28878:‏ Zhongcheng Li מ-IES Red Team

curl

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: הייתה בעיה ב-curl שעלולה להביא באופן לא מכוון לשליחת מידע רגיש דרך חיבור שגוי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-14524

DeviceLink

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2026-28876: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

GeoServices

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2026-28870:‏ XiguaSec

iCloud

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28880‏: Zhongcheng Li מ-IES Red Team

CVE-2026-28833:‏ Zhongcheng Li מ-IES Red Team

ImageIO

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-64505

Kernel

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.

CVE-2026-28868:‏ 이동하 (‏Lee Dong Ha of BoB 0xB6)

Kernel

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה זו טופלה באמצעות אימות משופר.

CVE-2026-28867: ‏Jian Lee ‏(‎@speedyfriend433)

Kernel

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20698: ‏DARKNAVY (‏@DarkNavyOrg)

libxpc

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2026-28882:‏ Ilias Morad‏ (A2nkF) מ-Voynich Group,‏ Duy Trần‏ (‎@khanhduytran0),‏ ‎@hugeBlack

Printing

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2026-20688: ‏wdszzml ו-Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2026-28863: ‏Gongyu Ma ‏(‎@Mezone0)

Security

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוקף מקומי עלול לקבל גישה לפריטי 'צרור מפתחות' של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.

CVE-2026-28864: ‏Alex Radocea

Siri

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות אימות משופר.

CVE-2026-28856: חוקר אנונימי

UIFoundation

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.

CVE-2026-28852:‏ Caspian Tarafdar

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20665:‏ webb

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות 'אותו המקור'

תיאור: בעיה ממקורות שונים ב-Navigation API טופלה באמצעות אימות קלט משופר.

CVE-2026-20643:‏ Thomas Espach

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: אתר אינטרנט זדוני עלול להצליח לגשת אל רכיבי ה-Handler של הודעת סקריפט המיועדים למקורות אחרים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2026-28861:‏ Hongze Wu ו-Shuaike Dong מ-Ant Group Infrastructure Security Team

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: אתר אינטרנט זדוני עלול להצליח לעבד תוכן אינטרנט מוגבל מחוץ לארגז החול

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-28859:‏ greenbynox,‏ Arni Hardarson

WebKit

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2026-20664:‏ Daniel Rhea,‏ Söhnke Benedikt Fischedick‏ (Tripton),‏ Emrovsky & Switch,‏ Yevhen Pervushyn

CVE-2026-28857:‏ Narcis Oliveras Fontàs,‏ Söhnke Benedikt Fischedick‏ (Tripton),‏ Daniel Rhea,‏ Nathaniel Oh‏ (‎@calysteon)

WebKit Sandboxing

זמין עבור: Apple Vision Pro (כל הדגמים)

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2026-20691: ‏Gongyu Ma ‏(‎@Mezone0)

תודות נוספות

AirPort

אנחנו מבקשים להודות ל-Yashar Shahinzadeh, ל-Saman Ebrahimnezhad, ל-Amir Safari ול-Omid Rezaii על הסיוע.

Bluetooth

אנחנו מבקשים להודות ל-Hamid Mahmoud על הסיוע.

Captive Network

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) על הסיוע.

CipherML

אנחנו מבקשים להודות ל-Nils Hanff‏ (‎@nils1729@chaos.social) מ-Hasso Plattner Institute על הסיוע.

CloudAttestation

אנחנו מבקשים להודות ל-Suresh Sundaram ול-Willard Jansen על הסיוע.

CoreUI

אנחנו מבקשים להודות ל-Peter Malone על הסיוע.

Find My

אנחנו מבקשים להודות ל-Salemdomain על הסיוע.

GPU Drivers

אנחנו מבקשים להודות ל-Jian Lee‏ (‎@speedyfriend433) על הסיוע.

ICU

אנחנו מבקשים להודות ל-Jian Lee‏ (‎@speedyfriend433) על הסיוע.

Kernel

אנחנו מבקשים להודות ל-DARKNAVY‏ (‎@DarkNavyOrg), ל-Kylian Boulard De Pouqueville מ-Fuzzinglabs, ל-Patrick Ventuzelo מ-Fuzzinglabs, ל-Robert Tran ול-Suresh Sundaram על הסיוע.

libarchive

אנחנו מבקשים להודות ל-Andreas Jaegersberger ול-Ro Achterberg מ-Nosebeard Labs וכן ל-Arni Hardarson על הסיוע.

libc

אנחנו מבקשים להודות ל-Vitaly Simonovich על הסיוע.

Libnotify

אנחנו מבקשים להודות ל-Ilias Morad‏ (‎@A2nkF_) על הסיוע.

LLVM

אנחנו מבקשים להודות ל-Nathaniel Oh‏ (‎@calysteon) על הסיוע.

Messages

אנחנו מבקשים להודות ל-JZ על הסיוע.

MobileInstallation

אנחנו מבקשים להודות ל-Gongyu Ma ‏(‏@Mezone0) על הסיוע.

Music

אנחנו מבקשים להודות ל-Mohammad Kaif‏ (‎@_mkahmad | kaif0x01) על הסיוע.

Notes

אנחנו מבקשים להודות ל-Dawuge מ-Shuffle Team ול-Hunan University על הסיוע.

ppp

אנחנו מבקשים להודות ל-Dave G.‎ על הסיוע.

Quick Look

אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing‏ (wojciechregula.blog) ולחוקר אנונימי על הסיוע.

Safari

אנחנו מבקשים להודות ל-‎@RenwaX23, ל-Farras Givari, ל-Syarif Muhammad Sajjad ול-Yair על הסיוע.

Shortcuts

אנחנו מבקשים להודות ל-Waleed Barakat‏ (‎@WilDN00B) ול-Paul Montgomery‏ (‎@nullevent) על הסיוע.

Siri

אנחנו מבקשים להודות ל-Anand Mallaya, יועץ טכני, מ-Anand Mallaya and Co.‎, ל-Harsh Kirdolia ול-Hrishikesh Parmar מ-Self-Employed על הסיוע.

Time Zone

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.

UIKit

אנחנו מבקשים להודות ל-AEC, ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-Safran Mumbai India, ל-Bishal Kafle‏ (‎@whoisbishal.k), ל-Carlos Luna‏ (U.S. Department of the Navy), ל-Dalibor Milanovic, ל-Daren Goodchild, ל-JS De Mattei, ל-Maxwell Garn, ל-Zack Tickman, ל-fuyuu12 ול-incredincomp על הסיוע.

Wallet

אנחנו מבקשים להודות ל-Zhongcheng Li מ-IES Red Team ב-ByteDance על הסיוע.

Web Extensions

אנחנו מבקשים להודות ל-Carlos Jeurissen ול-Rob Wu‏ (robwu.nl) על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Vamshi Paili על הסיוע.

WebKit Process Model

אנחנו מבקשים להודות ל-Joseph Semaan על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Kun Peeks ‏(‎@SwayZGl1tZyyy) ולחוקר אנונימי על הסיוע.

Wi-Fi Connectivity

אנחנו מבקשים להודות ל-Alex Radocea מ-Supernetworks, Inc על הסיוע.

Widgets

אנחנו מבקשים להודות ל-Marcel Voß, ל-Mitul Pranjay ול-Serok Çelik על הסיוע.