O sigurnosnom sadržaju sustava visionOS 26.2

Ovaj dokument opisuje sigurnosni sadržaj sustava visionOS 26.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 26.2

App Store

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija možda može pristupiti osjetljivim tokenima za plaćanje

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46288: floeki, Zhongcheng Li iz tima IES Red Team poduzeća ByteDance

AppleJPEG

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada datoteke može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač bi mogao lažirati svoj FaceTime ID pozivatelja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-46287: anonimni istraživač, Riley Walz

curl

Dostupno za: Apple Vision Pro (sve modele)

Učinak: veći broj problema u medijateci curl

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostupno za: Apple Vision Pro (sve modele)

Učinak: polja lozinke mogu se slučajno otkriti prilikom daljinskog upravljanja uređajem putem aplikacije FaceTime

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-43542: Yiğit Ocak

Foundation

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjernih podataka može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.

CVE-2025-43532: Andrew Calvano i Lucas Pinheiro, Meta Product Security

Icons

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: prekoračenje cijelih brojeva riješeno je primjenom 64-bitnih vremenskih oznaka.

CVE-2025-46285: Kaitao Xie i Xiaolong Bai, Alibaba Group

Messages

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s otkrivanjem informacija riješen je poboljšanjem značajki za zaštitu privatnosti.

CVE-2025-46276: Rosyna Keller, Totally Not Malicious Software

Multi-Touch

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerni HID uređaj mogao bi uzrokovati neočekivano prekidanje procesa

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-43533: Google Threat Analysis Group

Photos

Dostupno za: Apple Vision Pro (sve modele)

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2025-43428: anonimni istraživač, Michael Schmutzer sa sveučilišta Technische Hochschule Ingolstadt

Screen Time

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2025-43538: Iván Savransky

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43541: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43501: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2025-43531: Phil Pizlo, Epic Games

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. U odgovoru na to izvješće objavljen je i CVE-2025-14174.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. U odgovoru na to izvješće objavljen je i CVE-2025-43529.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2025-14174: Apple i Google Threat Analysis Group

WebKit Web Inspector

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)

Dodatna zahvala

AppleMobileFileIntegrity

Na pomoći zahvaljujemo anonimnom istraživaču.

Core Services

Zahvaljujemo poduzeću Golden Helm Securities na pomoći.

Safari

Zahvaljujemo Mochammadu Nosi Shandyju Prastyou na pomoći.

WebKit

Zahvaljujemo Gevi Nurgandi Syahputra (gevakun) na pomoći.