visionOS 26.2のセキュリティコンテンツについて

visionOS 26.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

visionOS 26.2

App Store

対象：Apple Vision Pro（全モデル）

影響：機密性の高い決済用トークンにアプリがアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-46288：floeki氏、ByteDanceのIES Red TeamのZhongcheng Li氏

AppleJPEG

対象：Apple Vision Pro（全モデル）

影響：ファイルを処理すると、メモリが破損する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2025-43539：Michael Reeves氏（@IntegralPilot）

Calling Framework

対象：Apple Vision Pro（全モデル）

影響：攻撃者がFaceTimeの発信者番号を装える可能性がある。

説明：ステート管理を改善し、ユーザインターフェイス不一致の脆弱性に対処しました。

CVE-2025-46287：匿名の研究者、Riley Walz氏

curl

対象：Apple Vision Pro（全モデル）

影響：curlに複数の脆弱性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2024-7264

CVE-2025-9086

FaceTime

対象：Apple Vision Pro（全モデル）

影響：FaceTime経由でデバイスのリモートコントロールを行う際、「パスワード」フィールドが意図せず露出する可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-43542：Yiğit Ocak氏

Foundation

対象：Apple Vision Pro（全モデル）

影響：悪意のあるデータを処理すると、アプリが予期せず終了する可能性がある。

説明：配列境界チェック機能を改善することで、メモリ破損の脆弱性に対処しました。

CVE-2025-43532：Meta Product SecurityのAndrew Calvano氏およびLucas Pinheiro氏

Icons

対象：Apple Vision Pro（全モデル）

影響：アプリが、ユーザがインストール済みのほかのアプリを特定できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-46279：Duy Trần氏（@khanhduytran0）

Kernel

対象：Apple Vision Pro（全モデル）

影響：アプリがルート権限を取得できる可能性がある。

説明：64ビットタイムスタンプを採用することで、整数オーバーフローに対処しました。

CVE-2025-46285：Alibaba GroupのKaitao Xie氏およびXiaolong Bai氏

Messages

対象：Apple Vision Pro（全モデル）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。

CVE-2025-46276：Totally Not Malicious SoftwareのRosyna Keller氏

Multi-Touch

対象：Apple Vision Pro（全モデル）

影響：悪意のあるHIDデバイスによって、プロセスが予期せずクラッシュさせられる可能性がある。

説明：入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2025-43533：Google Threat Analysis Group

Photos

対象：Apple Vision Pro（全モデル）

影響：非表示の写真アルバムの写真が認証なしで表示される可能性がある。

説明：制限を強化し、構成の問題に対処しました。

CVE-2025-43428：匿名の研究者、Technische Hochschule IngolstadtのMichael Schmutzer氏

Screen Time

対象：Apple Vision Pro（全モデル）

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2025-43538：Iván Savransky氏

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明：ステート処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-43541：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43535：Google Big Sleep、Nan Wang氏（@eternalsakura13）

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2025-43501：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2025-43531：Epic GamesのPhil Pizlo氏

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。Appleは、iOS 26以前のiOSバージョンで、標的となった特定の個人に対するきわめて巧妙な攻撃により、この脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-14174もまた、この報告を受けて発行されました。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43529：Google Threat Analysis Group

WebKit

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。Appleは、iOS 26以前のiOSバージョンで、標的となった特定の個人に対するきわめて巧妙な攻撃により、この脆弱性が悪用された可能性があるという報告を把握しています。CVE-2025-43529もまた、この報告を受けて発行されました。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2025-14174：AppleおよびGoogleのThreat Analysis Group

WebKit Web Inspector

対象：Apple Vision Pro（全モデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-43511：BoB 14thの이동하（Lee Dong Ha）氏

ご協力いただいたその他の方々

AppleMobileFileIntegrity

匿名の研究者のご協力に感謝いたします。

Core Services

Golden Helm Securitiesのご協力に感謝いたします。

Safari

Mochammad Nosa Shandy Prastyo氏のご協力に感謝いたします。

WebKit

Geva Nurgandi Syahputra氏（gevakun）のご協力に感謝いたします。