Informazioni sui contenuti di sicurezza di visionOS 26.4

In questo documento vengono descritti i contenuti di sicurezza di visionOS 26.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

visionOS 26.4

802.1X

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Accounts

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28877: Rosyna Keller di Totally Not Malicious Software

Audio

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28879: Justin Cohen di Google

Audio

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28822: Jex Amro

CoreMedia

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di un file multimediale audio in streaming potrebbe causare l'interruzione del processo

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20690: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CoreUtils

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente in una posizione privilegiata nella rete potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: un problema di privacy è stato risolto rimuovendo i dati sensibili.

CVE-2026-28878: Zhongcheng Li di IES Red Team

curl

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: esisteva un problema in curl che può comportare l'invio involontario di informazioni sensibili tramite una connessione errata

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-14524

DeviceLink

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2026-28876: Andreas Jaegersberger & Ro Achterberg di Nosebeard Labs

GeoServices

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28870: XiguaSec

iCloud

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28880: Zhongcheng Li di IES Red Team

CVE-2026-28833: Zhongcheng Li di IES Red Team

ImageIO

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-64505

Kernel

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2026-28868: 이동하 (Lee Dong Ha di BoB 0xB6)

Kernel

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: questo problema è stato risolto attraverso una migliore autenticazione.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2026-28882: Ilias Morad (A2nkF) di Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2026-20688: wdszzml e Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente malintenzionato locale può ottenere l'accesso agli elementi del portachiavi dell'utente

Descrizione: il problema è stato risolto con un migliore controllo delle autorizzazioni.

CVE-2026-28864: Alex Radocea

Siri

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2026-28856: un ricercatore anonimo

UIFoundation

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20665: webb

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.

Descrizione: un problema multiorigine nell'API Navigation è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-20643: Thomas Espach

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un sito web dannoso potrebbe essere in grado di accedere ai gestori di messaggi di script destinati ad altre origini

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28861: Hongze Wu e Shuaike Dong del team di sicurezza di Ant Group Infrastructure

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: un sito web dannoso potrebbe essere in grado di elaborare contenuti web soggetti a restrizioni al di fuori della sandbox

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Triptone), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Disponibile per: Apple Vision Pro (tutti i modelli)

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Altri riconoscimenti

AirPort

Ringraziamo Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii per l' 'assistenza.

Bluetooth

Ringraziamo Hamid Mahmoud per l'assistenza.

Captive Network

Ringraziamo Kun Peeks (@SwayZGl1tZyyy) per l'assistenza.

CipherML

Ringraziamo Nils Hanff (@nils1729@chaos.social) dell'Hasso Plattner Institute per l'assistenza.

CloudAttestation

Ringraziamo Suresh Sundaram e Willard Jansen per l'assistenza.

CoreUI

Ringraziamo JPeter Malone per l'assistenza.

Find My

Ringraziamo Salemdomain per l'assistenza.

GPU Drivers

Ringraziamo Jian Lee (@speedyfriend433) per l'assistenza.

ICU

Ringraziamo Jian Lee (@speedyfriend433) per l'assistenza.

Kernel

Ringraziamo DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville di Fuzzinglabs, Patrick Ventuzelo di Fuzzinglabs, Robert Tran, Suresh Sundaram per l'assistenza.

libarchive

Ringraziamo Andreas Jaegersberger e Ro Achterberg di Nosebeard Labs, Arni Hardarson per l'assistenza.

libc

Ringraziamo Vitaly Simonovich per l'assistenza.

Libnotify

Ringraziamo Ilias Morad (@A2nkF_) per l'assistenza.

LLVM

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

Messages

Ringraziamo JZ per l'assistenza.

MobileInstallation

Ringraziamo Gongyu Ma (@Mezone0) per l'assistenza.

Music

Ringraziamo Mohammad Kaif (@_mkahmad | kaif0x01) per l'assistenza.

Notes

Ringraziamo Dawuge dello Shuffle Team e l'Università di Hunan per l'assistenza.

ppp

Ringraziamo Dave G. per l'assistenza.

Quick Look

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo per l'assistenza

Safari

Ringraziamo @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair per l'assistenza.

Shortcuts

Ringraziamo Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) per l'assistenza.

Siri

Ringraziamo Anand Mallaya, consulente tecnico, Anand Mallaya e Co., Harsh Kirdolia, Hrishikesh Parmar di Self-Employed per l'assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India per l'assistenza.

UIKit

Ringraziamo EC, Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S.S. Dipartimento della Marina), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp per l'assistenza.

Wallet

Ringraziamo Zhongcheng Li di IES Red Team di ByteDance per l'assistenza.

Web Extensions

Ringraziamo Carlos Jeurissen, Rob Wu (robwu.nl) per l'assistenza.

WebKit

Ringraziamo Vamshi Paili per l'assistenza.

WebKit Process Model

Ringraziamo Joseph Semaan per l'assistenza.

Wi-Fi

Ringraziamo Kun Peeks (@SwayZGl1tZyyy), un ricercatore anonimo per l' 'assistenza.

Wi-Fi Connectivity

Ringraziamo Alex Radocea di Supernetworks, Inc per l'assistenza.

Widgets

Ringraziamo Marcel Voß, Mitul Pranjay, Serok Çelik per l'assistenza.