Informazioni sui contenuti di sicurezza di visionOS 26.2

In questo documento vengono descritti i contenuti di sicurezza di visionOS 26.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

visionOS 26.2

App Store

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai token di pagamento sensibili

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-46288: floeki, Zhongcheng Li di IES Red Team di ByteDance

AppleJPEG

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di un file può danneggiare la memoria.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente malintenzionato potrebbe riuscire a eseguire lo spoofing dell'ID chiamante di FaceTime.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2025-46287: un ricercatore anonimo, Riley Walz

curl

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: diversi problemi in curl.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: i campi delle password potrebbero essere rivelati involontariamente durante il controllo remoto di un dispositivo tramite FaceTime.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43542: Yiğit Ocak

Foundation

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di dati dannosi può causare la chiusura imprevista dell'app.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-43532: Andrew Calvano e Lucas Pinheiro di Meta Product Security

Icons

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: è stato risolto un overflow di numeri interi adottando la data e l'ora a 64 bit.

CVE-2025-46285: Kaitao Xie e Xiaolong Bai di Alibaba Group

Messages

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando i controlli della privacy.

CVE-2025-46276: Rosyna Keller di Totally Not Malicious Software

Multi-Touch

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un dispositivo HID dannoso può causare un crash imprevisto del processo.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2025-43533: Threat Analysis Group di Google

Photos

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-43428: un ricercatore anonimo, Michael Schmutzer di Technische Hochschule Ingolstadt

Screen Time

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-43538: Iván Savransky

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-43541: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43501: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2025-43531: Phil Pizlo di Epic Games

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. CVE-2025-14174 è stato emesso anche in risposta a questo report.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43529: Threat Analysis Group di Google

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria. Apple è a conoscenza di una segnalazione secondo cui questo problema potrebbe essere stato sfruttato in un attacco estremamente sofisticato contro individui specifici sulle versioni di iOS precedenti ad iOS 26. CVE-2025-43529 è stato emesso anche in risposta a questo report.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2025-14174: Apple e Google Threat Analysis Group

WebKit Web Inspector

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-43511: 이동하 (Lee Dong Ha di BoB 14th)

Altri riconoscimenti

AppleMobileFileIntegrity

Ringraziamo un ricercatore anonimo per l'assistenza.

Core Services

Ringraziamo Golden Helm Securities per l'assistenza.

Safari

Ringraziamo Mochammad Nosa Shandy Prastyo per l'assistenza.

WebKit

Ringraziamo Geva Nurgandi Syahputra (gevakun) per l'assistenza.