A visionOS 26.4 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 26.4

802.1X

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Accounts

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-28877: Rosyna Keller (Totally Not Malicious Software)

Audio

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

CoreMedia

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben leállíthatják a folyamatot

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Hiba állt fenn a curl esetén, amely azt eredményezte, hogy helytelen kapcsolaton keresztül, véletlenül küldtek el bizalmas információkat

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

DeviceLink

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2026-28876: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

GeoServices

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

iCloud

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28880: Zhongcheng Li (IES Red Team)

CVE-2026-28833: Zhongcheng Li (IES Red Team)

ImageIO

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2026-28868: 이동하 (Lee Dong Ha, BoB 0xB6)

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Printing

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2026-20688: wdszzml és Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a felhasználó kulcskarikán tárolt elemeihez

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2026-28864: Alex Radocea

Siri

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2026-28856: anonim kutató

UIFoundation

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát a Navigation API-ban.

CVE-2026-20643: Thomas Espach

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordulhat, hogy egy ártó szándékkal készített webhely hozzáfér más eredeteknek szánt szkriptüzenet-kezelőkhöz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2026-28861: Hongze Wu és Shuaike Dong (Ant Group Infrastructure Security Team)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordulhat, hogy egy ártó szándékkal készített webhely fel tudja dolgozni a tesztkörnyezeten kívüli korlátozott webes tartalmat

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2026-20691: Gongyu Ma (@Mezone0)

További köszönetnyilvánítás

AirPort

Köszönjük Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

CipherML

Köszönjük Nils Hanff (@nils1729@chaos.social, Hasso Plattner Institute) segítségét.

CloudAttestation

Köszönjük Suresh Sundaram, Willard Jansen segítségét.

CoreUI

Köszönjük Peter Malone segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram segítségét.

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

Music

Köszönjük Mohammad Kaif (@_mkahmad | kaif0x01) segítségét.

Notes

Köszönjük Dawuge (Shuffle Team and Hunan University) segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog), anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya (műszaki tanácsadó, Anand Mallaya and Co.), Harsh Kirdolia, Hrishikesh Parmar (szabadúszó) segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen, Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

WebKit Process Model

Köszönjük Joseph Semaan segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy), anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay, Serok Çelik segítségét.