A visionOS 26.5 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 26.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 26.5

Accelerate

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások potenciálisan meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28988: Asaf Cohen

APFS

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28959: Dave G.

App Intents

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A rosszindulatú appok adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_; Reverse Society)

AppleJPEG

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2026-1837

AppleJPEG

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2026-28956: impost0r (ret2plt)

Audio

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-39869: David Ige (Beryllium Security)

CoreAnimation

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2026-28936: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)

CoreSymbolication

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-28918: Niels Hofmans, anonim kutató a TrendAI Zero Day Initiative közreműködőjeként

FileProvider

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-43659: Alex Radocea

ImageIO

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2026-28977: Suresh Sundaram

ImageIO

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927) a STAR Labs SG Pte. Ltd. munkatársaként, Robert Tran, Aswin kumar Gokulakannan

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2026-28972: Billy Jheng Bing Jhong és Pan Zhenpeng (@Peterpan0927) a STAR Labs SG Pte. Ltd. munkatársaként, Ryan Hileman (Xint Code; xint.io)

LaunchServices

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28940: Michael DePlante (@izobashi; TrendAI Zero Day Initiative)

Networking

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A támadók nyomon tudták követni a felhasználókat az IP-címük alapján.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2026-28846: Peter Malone

Shortcuts

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2026-28993: Doron Assness

Spotlight

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2026-28974: Andy Koo (@andykoo; Hexens)

Status Bar

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.

Leírás: Továbbfejlesztett logikával elhárítottuk azt a problémát, amely miatt az alkalmazások nem tudtak hozzáférni a kamera metaadataihoz.

CVE-2026-28957: Adriatik Raci

Storage

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2026-28996: Alex Radocea

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2026-43660: Cantina

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28907: Cantina

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-43658: Do Young Park

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu és Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonim kutató a TrendAI Zero Day Initiative közreműködőjeként, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac és Kookhwan Lee a TrendAI Zero Day Initiative közreműködőjeként

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec; Talence Security), Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern és Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2026-28958: Cantina

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egy rosszindulatú iframe más webhelyek letöltési beállításait alkalmazhatta.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2026-28971: Khiem Tran

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28942: Milad Nasr és Nicholas Carlini, Claude (Anthropic) közreműködésével

CVE-2026-28947: dr3dd

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28917: Vitaly Simonovich

WebRTC

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28944: Kenneth Hsu (Palo Alto Networks), Jérôme DJOUDER, dr3dd

zlib

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

További köszönetnyilvánítás

App Intents

Köszönjük Mikael Kinnman segítségét.

Apple Account

Köszönjük Iván Savransky, YingQi Shi (@Mas0nShi, DBAppSecurity, WeBin lab) segítségét.

AuthKit

Köszönjük Gongyu Ma (@Mezone0) segítségét.

CoreUI

Köszönjük Mustafa Calap segítségét.

ICU

Köszönjük egy anonim kutató segítségét.

Kernel

Köszönjük Ryan Hileman via Xint Code (xint.io) és egy anonim kutató segítségét.

libnetcore

Köszönjük Chris Staite és David Hardy (Menlo Security Inc) segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

Location

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

Mail

Köszönjük Himanshu Bharti (@Xpl0itme; Khatima) segítségét.

mDNSResponder

Köszönjük Jason Grove segítségét.

Notes

Köszönjük Asilbek Salimov segítségét.

Siri

Köszönjük Yoav Magid segítségét.

WebKit

Köszönjük Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera és Vitaly Simonovich segítségét.

WebRTC

Köszönjük Hyeonji Son (@jir4vv1t; Demon Team) segítségét.