מידע על תוכן האבטחה של visionOS 26.5
המסמך מתאר את תוכן האבטחה של visionOS 26.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 26.5
הופץ ב-11 במאי 2026
Accelerate
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2026-28988: Asaf Cohen
APFS
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2026-28959: Dave G.
App Intents
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) מטעם Reverse Society
AppleJPEG
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2026-1837
AppleJPEG
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2026-28956: impost0r (ret2plt)
Audio
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-39869: David Ige מ-Beryllium Security
CoreAnimation
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2026-28936: Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs
CoreSymbolication
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ניתוח מבנה של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-28918: Niels Hofmans, אנונימי בעבודה עם TrendAI Zero Day Initiative
FileProvider
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2026-43659: Alex Radocea
ImageIO
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2026-28977: Suresh Sundaram
ImageIO
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה
תיאור: גלישת חוצץ טופלה ואימות הקלט שופר.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ו-Pan Zhenpeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2026-28972: Billy Jheng Bing Jhong ו-Pan Zhenpeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd., Ryan Hileman דרך Xint Code (xint.io)
LaunchServices
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להשחית זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-28940: Michael DePlante (@izobashi) מ-TrendAI Zero Day Initiative
Networking
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ייתכן שתוקף יוכל לעקוב אחר משתמשים באמצעות כתובת ה-IP שלהם
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2026-28846: Peter Malone
Shortcuts
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2026-28993: Doron Assness
Spotlight
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2026-28974: Andy Koo (@andykoo) מ-Hexens
Status Bar
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ייתכן שאפליקציה תוכל לצלם מסך של משתמש
תיאור: בעיה בגישה של אפליקציה למטא-נתונים של המצלמה טופלה בעזרת לוגיקה משופרת.
CVE-2026-28957: Adriatik Raci
Storage
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2026-28996: Alex Radocea
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ו-Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), אנונימי בעבודה עם TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac ו-Kookhwan Lee בעבודה עם TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) מ-Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: צוות המחקר של Aisle לאבטחה פוגענית (Joshua Rogers, Luigino Camastra, Igor Morgenstern ו-Guido Vranken), Maher Azzouzi, Ngan Nguyen מ-Calif.io
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: iframe בעל מבנה זדוני עלול להשתמש בהגדרות ההורדה של אתר אחר
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr ו-Nicholas Carlini עם Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu מ-Palo Alto Networks, Jérôme DJOUDER, dr3dd
zlib
זמין עבור: Apple Vision Pro (כל הדגמים)
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: דליפת מידע טופלה עם אימות נוסף.
CVE-2026-28920: Brendon Tiszka מ-Google Project Zero
תודות נוספות
App Intents
אנחנו מבקשים להודות ל-Mikael Kinnman על הסיוע.
Apple Account
אנחנו מבקשים להודות ל-Iván Savransky ול-YingQi Shi (@Mas0nShi) ממעבדת WeBin ב-DBAppSecurity על הסיוע.
AuthKit
אנחנו מבקשים להודות ל-Gongyu Ma (@Mezone0) על הסיוע.
CoreUI
אנחנו מבקשים להודות ל-Mustafa Calap על הסיוע.
ICU
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Kernel
אנחנו מבקשים להודות ל-Ryan Hileman דרך Xint Code (xint.io) ולחוקר אנונימי על הסיוע.
libnetcore
אנחנו מבקשים להודות ל-Chris Staite ול-David Hardy מ-Menlo Security Inc על הסיוע.
Libnotify
אנחנו מבקשים להודות ל-Ilias Morad (@A2nkF_) על הסיוע.
Location
אנחנו מבקשים להודות ל-Kun Peeks (@SwayZGl1tZyyy) על הסיוע.
אנחנו מבקשים להודות ל-Himanshu Bharti (@Xpl0itme) מ-Khatima על הסיוע.
mDNSResponder
אנחנו מבקשים להודות ל-Jason Grove על הסיוע.
Notes
אנחנו מבקשים להודות ל-Asilbek Salimov על הסיוע.
Siri
אנחנו מבקשים להודות ל-Yoav Magid על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Muhammad Zaid Ghifari (Mr.ZheeV), ל-Kalimantan Utara, ל-Qadhafy Muhammad Tera ול-Vitaly Simonovich על הסיוע.
WebRTC
אנחנו מבקשים להודות ל-Hyeonji Son (@jir4vv1t) מ-Demon Team על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.