Informacije o sigurnosnom sadržaju sustava visionOS 26.5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 26.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 26.5
Objavljeno 11. svibnja 2026.
Accelerate
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2026-28988: Asaf Cohen
APFS
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2026-28959: Dave G.
App Intents
Dostupno za: Apple Vision Pro (sve modele)
Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society
AppleJPEG
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2026-1837
AppleJPEG
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2026-28956: impost0r (ret2plt)
Audio
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-39869: David Ige (Beryllium Security)
CoreAnimation
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem je riješen poboljšanim provjerama.
CVE-2026-28936: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)
CoreSymbolication
Dostupno za: Apple Vision Pro (sve modele)
Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-28918: Niels Hofmans, anonimni istraživač u suradnji s inicijativom Zero Day Initiative (TrendAI)
FileProvider
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2026-43659: Alex Radocea
ImageIO
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2026-28977: Suresh Sundaram
ImageIO
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd., Ryan Hileman via Xint Code (xint.io)
LaunchServices
Dostupno za: Apple Vision Pro (sve modele)
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Dostupno za: Apple Vision Pro (sve modele)
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2026-28940: Michael DePlante (@izobashi) iz inicijative Zero Day (TrendAI)
Networking
Dostupno za: Apple Vision Pro (sve modele)
Učinak: napadač bi mogao pratiti korisnike preko njihovih IP adresa
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: udaljeni napadač mogao bi uzrokovati neočekivani pad aplikacije
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2026-28846: Peter Malone
Shortcuts
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.
CVE-2026-28993: Doron Assness
Spotlight
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2026-28974: Andy Koo (@andykoo) (Hexens)
Status Bar
Dostupno za: Apple Vision Pro (sve modele)
Učinak: neke bi aplikacije mogle snimiti zaslon korisnika
Opis: problem s pristupom aplikacije metapodacima kamere riješen je poboljšanom logikom.
CVE-2026-28957: Adriatik Raci
Storage
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2026-28996: Alex Radocea
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem je riješen poboljšanom provjerom ulaznih podataka.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu i Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimni istraživač u suradnji s inicijativom Zero Day Initiative (TrendAI), Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac i Kookhwan Lee u suradnji s inicijativom Zero Day Initiative (TrendAI)
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) iz tvrtke Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: taj je problem riješen poboljšanom zaštitom podataka.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: zlonamjerni iframe može upotrebljavati postavke preuzimanja drugog web-mjesta
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr i Nicholas Carlini te Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanom provjerom ulaznih podataka.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
Dostupno za: Apple Vision Pro (sve modele)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd
zlib
Dostupno za: Apple Vision Pro (sve modele)
Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci
Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.
CVE-2026-28920: Brendon Tiszka (Google Project Zero)
Dodatna zahvala
App Intents
Na pomoći zahvaljujemo Mikaelu Kinnmanu.
Apple Account
Na pomoći zahvaljujemo sljedećim osobama: Iván Savransky, YingQi Shi (@Mas0nShi) (DBAppSecurity's WeBin lab).
AuthKit
Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).
CoreUI
Na pomoći zahvaljujemo Mustafi Calapu.
ICU
Na pomoći zahvaljujemo anonimnom istraživaču.
Kernel
Na pomoći zahvaljujemo Ryanu Hilemanu putem Xint Code (xint.io), anonimnom istraživaču.
libnetcore
Na pomoći zahvaljujemo Chrisu Staiteu i Davidu Hardyju (Menlo Security Inc).
Libnotify
Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).
Location
Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).
Na pomoći zahvaljujemo Himanshu Bhartiju (@Xpl0itme) iz tvrtke Khatima.
mDNSResponder
Na pomoći zahvaljujemo Jasonu Groveu.
Notes
Na pomoći zahvaljujemo Asilbeku Salimovu.
Siri
Na pomoći zahvaljujemo Yoavu Magidu.
WebKit
Na pomoći zahvaljujemo sljedećim osobama: Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.
WebRTC
Na pomoći zahvaljujemo Hyeonjiju Sonu (@jir4vv1t) (Demon Team).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.