Informacije o sigurnosnom sadržaju sustava visionOS 26

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 26

AppleMobileFileIntegrity

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43344: anonimni istraživač

Audio

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43346: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija mogla je čitati kernalsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Bluetooth

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43354: Csaba Fitzl (@theevilbit) (Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit) (Kandji)

CloudKit

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-43323: Yinyi Wu (@_3ndy1) (Dawn Security Lab, JD.com, Inc)

CoreAudio

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43349: @zlluny i inicijativa Trend Micro Zero Day

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-43372: 이동하 (Lee Dong Ha) (SSA Lab)

DiskArbitration

Dostupno za: Apple Vision Pro

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43316: Csaba Fitzl (@theevilbit) (Kandji), anonimni istraživač

IOHIDFamily

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43302: Keisuke Hosoda

Kernel

Dostupno za: Apple Vision Pro

Učinak: priključak UDP na poslužitelju vezan na lokalno sučelje može se povezati na sva sučelja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43359: Viktor Oreshkin

Kernel

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-43345: Mickey Jin (@patch1t)

MobileStorageMounter

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43355: Dawuge (Shuffle Team)

Spell Check

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostupno za: Apple Vision Pro

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-6965

System

Dostupno za: Apple Vision Pro

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostupno za: Apple Vision Pro

Učinak: web-mjesto može pristupiti podacima senzora bez pristanka korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43272: Big Bear

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43343: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-43342: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač može vidjeti DNS upite koji su procurili uz uključenu opciju Privatni relej

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43376: Mike Cardwell (grepular.com), Bob Lord

Dodatna zahvala

AuthKit

Na pomoći zahvaljujemo Rosyni Keller (Totally Not Malicious Software).

Calendar

Na pomoći zahvaljujemo Keisukeu Chinoneu (Iroiro).

CFNetwork

Na pomoći zahvaljujemo Christianu Kohlschütteru.

Core Bluetooth

Na pomoći zahvaljujemo Leonu Böttgeru.

Control Center

Na pomoći zahvaljujemo Damithu Gunawardenu.

CoreMedia

Na pomoći zahvaljujemo Noahu Gregoryju (wts.dev).

darwinOS

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Files

Na pomoći zahvaljujemo Tyleru Montgomeryju.

Foundation

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Kandji).

ImageIO

Na pomoći zahvaljujemo korisnicima DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat).

IOGPUFamily

Na pomoći zahvaljujemo Wangu Yuu (Cyberserval).

Kernel

Na pomoći zahvaljujemo Yepengu Panu, prof. dr. Christianu Rossowu.

libc

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

libpthread

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

libxml2

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

mDNSResponder

Na pomoći zahvaljujemo Barrettu Lyonu.

Networking

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Kandji).

Notes

Na pomoći zahvaljujemo Atulu R V.

Passwords

Na pomoći zahvaljujemo Christianu Kohlschütteru.

Safari

Na pomoći zahvaljujemo Ameenu Bashi M K.

Sandbox Profiles

Na pomoći zahvaljujemo Rosyni Keller (Totally Not Malicious Software).

Spotlight

Na pomoći zahvaljujemo Christianu Scaleseu.

Transparency

Zahvaljujemo na pomoći Wojciechu Regułi (SecuRing) (wojciechregula.blog), 要乐奈.

WebKit

Na pomoći zahvaljujemo Matthewu Liangu.

Wi-Fi

Na pomoći zahvaljujemo korisnicima Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) (Kandji), Noah Gregory (wts.dev), Wojciech Regula (SecuRing) (wojciechregula.blog), anonimnom istraživaču.