Informacije o sigurnosnom sadržaju sustava visionOS 26.4.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 26.4

802.1X

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Accounts

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Audio

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Audio

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zvučnog streama u zlonamjernoj medijskoj datoteci može se prekinuti izvršavanje procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot), Zero Day Initiative (Trend Micro)

CoreUtils

Dostupno za: Apple Vision Pro (sve modele)

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Dostupno za: Apple Vision Pro (sve modele)

Učinak: u alatu curl postojao je problem koji je mogao dovesti do nenamjernog slanja osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

DeviceLink

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-28876: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

GeoServices

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

iCloud

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Printing

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2026-20688: wdszzml i Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dostupno za: Apple Vision Pro (sve modele)

Učinak: lokalni napadač mogao je dobiti pristup korisnikovim stavkama privjeska ključeva

Opis: problem je riješen boljom provjerom dozvola.

CVE-2026-28864: Alex Radocea

Siri

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28856: anonimni istraživač

UIFoundation

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-20665: webb

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla

Opis: problem više izvora u API-ju za navigaciju riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-20643: Thomas Espach

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerno web-mjesto moglo bi moći pristupiti rukovateljima poruka skripte namijenjenima za druge izvore

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28861: Hongze Wu i Shuaike Dong (tim za sigurnost infrastrukture grupacije Ant Group)

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerno mjesto moglo je obraditi ograničeni web-sadržaj izvan memorije za testiranje

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Dodatna zahvala

AirPort

Na pomoći zahvaljujemo Yasharu Shahinzadehu, Samanu Ebrahimnezhadu, Amiru Safariju i Omidu Rezaiiju.

Bluetooth

Na pomoći zahvaljujemo Hamidu Mahmoudu.

Captive Network

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

CipherML

Na pomoći zahvaljujemo Nilsu Hanffu (@nils1729@chaos.social) (Hasso Plattner Institute).

CloudAttestation

Na pomoći zahvaljujemo Sureshu Sundaramu i Willardu Jansenu.

CoreUI

Na pomoći zahvaljujemo Peteru Maloneu.

Find My

Na pomoći zahvaljujemo Salemdomainu.

GPU Drivers

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

ICU

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

Kernel

Na pomoći zahvaljujemo korisniku DARKNAVY (@DarkNavyOrg), Kylianu Boulardu De Pouquevilleu (Fuzzinglabs), Patricku Ventuzelu (Fuzzinglabs), Robertu Tranu i Sureshu Sundaramu.

libarchive

Na pomoći zahvaljujemo Andreasu Jaegersbergeru i Rou Achterbergu (Nosebeard Labs) i Arniju Hardarsonu.

libc

Na pomoći zahvaljujemo Vitalyju Simonovichu.

Libnotify

Na pomoći zahvaljujemo Iliasu Moradu (@A2nkF_).

LLVM

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Messages

Na pomoći zahvaljujemo JZ-u.

MobileInstallation

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

Music

Na pomoći zahvaljujemo Mohammadu Kaifu (@_mkahmad | kaif0x01).

Notes

Na pomoći zahvaljujemo Dawugeu (Shuffle Team i Hunan University).

ppp

Na pomoći zahvaljujemo korisniku Dave G.

Quick Look

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRing) (wojciechregula.blog) i anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo korisniku @RenwaX23, Farrasu Givari, Syarifu Muhammadu Sajjadu i Yairu.

Shortcuts

Na pomoći zahvaljujemo Waleedu Barakatu (@WilDN00B) i Paulu Montgomeryju (@nullevent).

Siri

Na pomoći zahvaljujemo savjetniku za tehnologiju Anandu Mallayi (Anand Mallaya and Co.), Harshu Kirdoliji i Hrishikeshu Parmaru (samozaposlena osoba).

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

UIKit

Na pomoći zahvaljujemo AEC-u, Abhayu Kailasiji (@abhay_kailasia) (Safran Mumbai India), Bishalu Kafleu (@whoisbishal.k), Carlosu Luni (Američko ministarstvo pomorstva), Daliboru Milanoviću, Darenu Goodchildu, JS-u De Matteiju, Maxwellu Garnu, Zacku Tickmanu, korisniku fuyuu12 i korisniku incredincomp.

Wallet

Na pomoći zahvaljujemo korisniku Zhongcheng Li (IES Red Team, ByteDance).

Web Extensions

Na pomoći zahvaljujemo Carlosu Jeurissenu i Robu Wuu (robwu.nl).

WebKit

Na pomoći zahvaljujemo Vamshiju Pailiju.

WebKit Process Model

Na pomoći zahvaljujemo Josephu Semaanu.

Wi-Fi

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy) i anonimnom istraživaču.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Alexu Radocei (Supernetworks, Inc).

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Mitulu Pranjayu i Seroku Çeliku.