Informacije o sigurnosnom sadržaju sustava visionOS 26.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 26.3
Objavljeno 11. veljače 2026.
AppleKeyStore
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2026-20637: Johnny Franks (zeroxjf), anonimni istraživač
Unos je dodan 24. ožujka 2026.
AppleMobileFileIntegrity
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)
Bluetooth
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadač na povlaštenom mrežnom položaju možda će moći izvršiti napad uskraćivanja usluge koristeći zlonamjerne Bluetooth pakete
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2026-20650: jioundai
CFNetwork
Dostupno za: Apple Vision Pro (sve modele)
Učinak: udaljeni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: problem s obradom putova riješen je poboljšanom logikom.
CVE-2026-20660: Amy (amys.website)
CoreAudio
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-20611: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)
CoreMedia
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)
CoreServices
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2026-20617: Golden Helm Securities, Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) (Iru)
Unos je ažuriran 24. ožujka 2026.
CoreServices
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2026-20615: Csaba Fitzl (@theevilbit) (Iru) i Gergely Kalman (@gergely_kalman)
CoreServices
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je postojao u rukovanju varijablama okruženja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2026-20627: anonimni istraživač
dyld
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadač koji koristi mogućnost zapisivanja u memoriju mogao bi pokrenuti proizvoljni kod. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. CVE-2025-14174 i CVE-2025-43529 također su izdani kao odgovor na ovo izvješće.
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2026-20700: Google Threat Analysis Group
Focus
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.
CVE-2026-20668: Kirin (@Pwnrin)
Unos je ažuriran 24. ožujka 2026.
ImageIO
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2026-20675: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day (Trend Micro)
ImageIO
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20634: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20654: Jian Lee (@speedyfriend433)
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2026-20626: Keisuke Hosoda
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
libexpat
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjerne datoteke moglo je doći do odbijanja usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2025-59375
Messages
Dostupno za: Apple Vision Pro (sve modele)
Učinak: prečac bi mogao zaobići ograničenja memorije za testiranje
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem simboličnim vezama.
CVE-2026-20677: Ron Masas iz tvrtke BreakPoint.SH
Model I/O
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-20616: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Sandbox
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2026-20628: Noah Gregory (wts.dev)
Shortcuts
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2026-20653: Enis Maholli (enismaholli.com)
StoreKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao
Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.
CVE-2026-20641: Gongyu Ma (@Mezone0)
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 303959
CVE-2026-20652: Nathaniel Oh (@calysteon)
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 303357
CVE-2026-20608: HanQing (TSDubhe) i Nan Wang (@eternalsakura13)
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: web-stranica mogla bi pratiti korisnike putem web ekstenzija za Safari
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 305020
CVE-2026-20676: Tom Van Goethem
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 303444
CVE-2026-20644: HanQing (TSDubhe) i Nan Wang (@eternalsakura13)
WebKit Bugzilla: 304657
CVE-2026-20636: EntryHi
WebKit Bugzilla: 304661
CVE-2026-20635: EntryHi
Wi-Fi
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-20621: Wang Yu (Cyberserval)
Dodatna zahvala
Bluetooth
Na pomoći zahvaljujemo Tommasu Sacchettiju.
Kernel
Na pomoći zahvaljujemo korisnicima Josephu Ravichandranu (@0xjprx) (MIT CSAIL), Xinru Chi (Pangu Lab).
libpthread
Na pomoći zahvaljujemo Fabianu Anemoneu.
NetworkExtension
Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).
Notes
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Unos je dodan 24. ožujka 2026.
Shortcuts
Na pomoći zahvaljujemo Robertu Reichelu.
Transparency
Zahvaljujemo na pomoći Wojciechu Regułi (@_rggi) (SecuRing) (wojciechregula.blog).
Wallet
Na pomoći zahvaljujemo Lorenzu Santini (@BigNerd95) i Marcu Bartoliju (@wsxarcher).
WebKit
Na pomoći zahvaljujemo korisnicima David Wood, EntryHi, Luigino Camastra (Aisle Research), Stanislav Fort (Aisle Research), Vsevolod Kokorin (Slonser) (Solidlab) i Jorian Woltjer.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.