Informacije o sigurnosnom sadržaju sustava visionOS 26.4.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 26.4

802.1X

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Accounts

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28877: Rosyna Keller, Totally Not Malicious Software

Audio

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Audio

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot) (TrendAI Zero Day Initiative)

CoreUtils

Dostupno za: Apple Vision Pro (sve modele)

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Dostupno za: Apple Vision Pro (sve modele)

Učinak: postojao je problem u alatu curl koji je mogao dovesti do nenamjernog slanja osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

DeviceLink

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2026-28876: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

GeoServices

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

iCloud

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha (BoB 0xB6))

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: Apple Vision Pro (sve modele)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Printing

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2026-20688: wdszzml i Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dostupno za: Apple Vision Pro (sve modele)

Učinak: lokalni napadač mogao je dobiti pristup korisnikovim stavkama privjeska ključeva

Opis: problem je riješen boljom provjerom dozvola.

CVE-2026-28864: Alex Radocea

Security

Dostupno za: Apple Vision Pro (sve modele)

Učinak: lokalni napadač mogao bi promijeniti stanje privjeska ključeva

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28860: Alex Radocea

Siri

Dostupno za: Apple Vision Pro (sve modele)

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28856: anonimni istraživač

UIFoundation

Dostupno za: Apple Vision Pro (sve modele)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

Vision

Dostupno za: Apple Vision Pro (sve modele)

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20657: Andrew Becker

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-20665: webb

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla

Opis: problem više izvora u API-ju za navigaciju riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-20643: Thomas Espach

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerno web-mjesto moglo bi moći pristupiti rukovateljima poruka skripte namijenjenima za druge izvore

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28861: Hongze Wu i Shuaike Dong (tim za sigurnost infrastrukture grupacije Ant Group) te webb

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonmjerno web-mjesto moglo je obraditi ograničeni web-sadržaj izvan memorije za testiranje

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28859: greenbynox, Arni Hardarson i anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro (sve modele)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Dostupno za: Apple Vision Pro (sve modele)

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Dodatna zahvala

AirPort

Na pomoći zahvaljujemo Yasharu Shahinzadehu, Samanu Ebrahimnezhadu, Amiru Safariju, Omidu Rezaiju.

Bluetooth

Na pomoći zahvaljujemo Hamidu Mahmoudu.

Captive Network

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

CipherML

Na pomoći zahvaljujemo Nilsu Hanffu (@nils1729@chaos.social) (Hasso Plattner Institute).

CloudAttestation

Na pomoći zahvaljujemo Sureshu Sundaramu i Willardu Jansenu.

CoreUI

Na pomoći zahvaljujemo Peteru Maloneu.

Find My

Na pomoći zahvaljujemo Salemdomainu.

GPU Drivers

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

ICU

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

Kernel

Na pomoći zahvaljujemo sljedećim osobama: Adam Doupé (ASU SEFCOM,) DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec) (Talence Security).

libarchive

Na pomoći zahvaljujemo Andreasu Jaegersbergeru i Rou Achterbergu (Nosebeard Labs) i Arniju Hardarsonu.

libc

Na pomoći zahvaljujemo Vitalyu Simonovichu (vitalysim.com).

Libnotify

Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).

LLVM

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Messages

Na pomoći zahvaljujemo JZ-u.

MobileInstallation

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

Music

Na pomoći zahvaljujemo Mohammadu Kaifu (@_mkahmad | kaif0x01).

Notes

Na pomoći zahvaljujemo Dawugeu (Shuffle Team i Hunan University).

ppp

Na pomoći zahvaljujemo korisniku Dave G.

Quick Look

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRin) (wojciechregula.blog), anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo korisniku @RenwaX23, Farrasu Givariju, Syarifu Muhammadu Sajjadu i Yairu.

Shortcuts

Na pomoći zahvaljujemo Waleedu Barakatu (@WilDN00B) i Paul Montgomeryju (@nullevent).

Siri

Na pomoći zahvaljujemo Anandu Mallayi, tehničkom savjetniku (Anand Mallaya and Co.), Harshu Kirdoliji i Hrishikeshu Parmaru (samozaposlena osoba).

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

UIKit

Na pomoći zahvaljujemo sljedećim osobama: AEC, Abhay Kailasia (@abhay_kailasia) (Safran Mumbai India), Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (Ministarstvo pomorstva SAD-a), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Na pomoći zahvaljujemo korisniku Zhongcheng Li (IES Red Team, ByteDance).

Web Extensions

Na pomoći zahvaljujemo Carlosu Jeurissenu i Robu Wuu (robwu.nl).

WebKit

Na pomoći zahvaljujemo Vamshiju Pailiju.

WebKit Process Model

Na pomoći zahvaljujemo Josephu Semaanu.

Wi-Fi

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy), anonimnom istraživaču.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Alexu Radocei (Supernetworks, Inc).

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Mitulu Pranjayu i Seroku Çeliku.