Informacije o sigurnosnom sadržaju sustava visionOS 26.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 26,1

Apple Account

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerna aplikacija mogla bi napraviti snimku zaslona s osjetljivim podacima u ugrađenim prikazima

Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.

CVE-2025-43455: Ron Masas (BreakPoint.SH), Pinak Oza

Apple Neural Engine

Dostupno za: Apple Vision Pro (sve modele)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43447: anonimni istraživač

CVE-2025-43462: anonimni istraživač

AppleMobileFileIntegrity

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2025-43407: JZ

Audio

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač s fizičkim pristupom otključanom uređaju uparenom s Mac računalom može vidjeti osjetljive korisničke podatke u dnevnicima sustava

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43436: Zhongcheng Li (IES Red Team, ByteDance)

CoreText

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43445: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

FileProvider

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem sa zaštitom privatnosti riješen je premještanjem osjetljivih podataka.

CVE-2025-43507: iisBuri

Installer

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-43444: Zhongcheng Li (IES Red Team, ByteDance)

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija u memoriji za testiranje mogla bi pomatrati veze diljem sustava

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2025-43413: Dave G. i Alex Radocea (supernetworks.org)

Mail Drafts

Dostupno za: Apple Vision Pro (sve modele)

Učinak: udaljeni sadržaj mogao bi se učitati čak i kad je postavka „Učitaj udaljene slike” isključena

Opis: problem je riješen dodavanje dodatne logike.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme (Khatima)

Model I/O

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43386: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43385: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43384: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

CVE-2025-43383: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

Notes

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnošću riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-43439: Zhongcheng Li (IES Red Team, ByteDance)

Safari

Dostupno za: Apple Vision Pro (sve modele)

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-43493: @RenwaX23

Safari

Dostupno za: Apple Vision Pro (sve modele)

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43503: @RenwaX23

Safari

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2025-43502: anonimni istraživač

Sandbox Profiles

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem korisničkim postavkama.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-43480: Aleksejs Popovs

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-43443: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen (Google)

CVE-2025-43425: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43438: shandikri i inicijativa Zero Day (Trend Micro)

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2025-43434: Google Big Sleep

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43432: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2025-43429: Google Big Sleep

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: više problema riješeno je onemogućivanjem preusmjeravanja dodjela polja

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Dostupno za: Apple Vision Pro (sve modele)

Učinak: web-mjesto može prenijeti podatke o slikama iz više izvora

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2025-43392: Tom Van Goethem

Dodatna zahvala

Mail

Na pomoći zahvaljujemo anonimnom istraživaču.

MobileInstallation

Na pomoći zahvaljujemo Bubbleu Zhangu.

Safari

Na pomoći zahvaljujemo Barathu Stalinu K-u.

Safari Downloads

Na pomoći zahvaljujemo Saellu Puzi.

Shortcuts

Na pomoći zahvaljujemo korisnicima BanKai, Benjamin Hornbeck, Chi Yuan Chang (ZUSO ART) i taikosoup, Ryan May, Andrew James Gonzalez i anonimnom istraživaču.

WebKit

Na pomoći zahvaljujemo Enisu Maholliju (enismaholli.com), Google Big Sleepu.