A visionOS 26.1 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 26.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 26.1

Apple Account

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott alkalmazás képernyőképet tudott készíteni bizalmas adatokról a beágyazott nézetekben

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy adatvédelmi hibát.

CVE-2025-43455: Ron Masas of BreakPoint.SH, Pinak Oza

Apple Neural Engine

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43447: anonim kutató

CVE-2025-43462: anonim kutató

AppleMobileFileIntegrity

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2025-43407: JZ

Audio

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A Mackel társított, nem zárolt eszközhöz fizikai hozzáférő támadók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz a rendszernaplókban

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43436: Zhongcheng Li, IES Red Team, ByteDance

CoreText

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-43445: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

FileProvider

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok áthelyezésével megoldottuk az adatvédelmi problémát.

CVE-2025-43507: iisBuri

Installer

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-43444: Zhongcheng Li, IES Red Team, ByteDance

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A tesztkörnyezetben futó appok bizonyos esetekben meg tudták figyelni a rendszerszintű kapcsolatokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2025-43413: Dave G. és Alex Radocea, supernetworks.org

Mail Drafts

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Akkor is be lehetett tölteni távoli tartalmakat, ha a „Távoli képek betöltése” beállítás ki volt kapcsolva

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima

Model I/O

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43386: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Notes

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el azt az adatvédelmi problémát.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-43439: Zhongcheng Li, IES Red Team, ByteDance

Safari

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43493: @RenwaX23

Safari

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-43503: @RenwaX23

Safari

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2025-43502: anonim kutató

Sandbox Profiles

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-43480: Aleksejs Popovs

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-43443: anonim kutató

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen, Google

CVE-2025-43425: anonim kutató

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43438: shandikri a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43432: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-43429: Google Big Sleep

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Több hibát elhárítottunk a tömbkiosztás-fogadás letiltásával.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-43392: Tom Van Goethem

További köszönetnyilvánítás

Mail

Köszönjük egy anonim kutató segítségét.

MobileInstallation

Köszönjük Bubble Zhang segítségét.

Safari

Köszönjük Barath Stalin K segítségét.

Safari Downloads

Köszönjük Saello Puza segítségét.

Shortcuts

Köszönjük BanKai, Benjamin Hornbeck, Chi Yuan Chang (ZUSO ART), taikosoup, Ryan May, Andrew James Gonzalez és egy anonim kutató segítségét.

WebKit

Köszönjük Enis Maholli (enismaholli.com) és Google Big Sleep segítségét.