visionOS 26.4의 보안 콘텐츠에 관하여

이 문서에서는 visionOS 26.4의 보안 콘텐츠에 대해 설명합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 조사를 마치고 패치 또는 출시 버전을 제공할 수 있을 때까지는 보안 문제를 공개하거나, 논의하거나, 확인해 주지 않습니다. 최신 출시 버전은 Apple 보안 출시 버전 페이지에 나와 있습니다.

Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.

보안에 대한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오.

visionOS 26.4

802.1X

대상: Apple Vision Pro(모든 모델)

영향: 네트워크에서 권한 있는 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음

설명: 인증 문제는 개선된 상태 관리를 통해 해결되었습니다.

CVE-2026-28865: Héloïse Gollier 및 Mathy Vanhoef(KU Leuven)

Accounts

대상: Apple Vision Pro(모든 모델)

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 인증 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2026-28877: Totally Not Malicious Software의 Rosyna Keller

Audio

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 예기치 않은 프로세스 충돌이 발생할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2026-28879: Google의 Justin Cohen

Audio

대상: Apple Vision Pro(모든 모델)

영향: 공격자가 앱을 예기치 않게 종료할 수 있음

설명: 유형 혼동 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2026-28822: Jex Amro

CoreMedia

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 미디어 파일의 오디오 스트림을 처리할 경우 프로세스가 종료될 수 있음

설명: 범위를 벗어난 접근 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2026-20690: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)

CoreUtils

대상: Apple Vision Pro(모든 모델)

영향: 네트워크에서 권한 있는 위치에 있는 사용자가 서비스 거부를 야기할 수 있음

설명: Null 포인터 역참조는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2026-28886: Etienne Charron(Renault) 및 Victoria Martini(Renault)

Crash Reporter

대상: Apple Vision Pro(모든 모델)

영향: 앱이 사용자의 설치된 앱을 나열할 수 있음

설명: 개인 정보 보호 문제는 민감한 데이터를 제거하여 해결되었습니다.

CVE-2026-28878: IES Red Team의 Zhongcheng Li

curl

대상: Apple Vision Pro(모든 모델)

영향: curl에서 의도치 않게 잘못된 연결을 통해 민감한 정보를 전송할 수 있는 문제가 있음

설명: 이는 오픈 소스 코드의 취약점이며 Apple 소프트웨어도 영향을 받는 프로젝트입니다. CVE-ID는 타사에서 할당했습니다. cve.org 사이트에서 문제 및 CVE-ID에 대해 자세히 알아보십시오.

CVE-2025-14524

DeviceLink

대상: Apple Vision Pro(모든 모델)

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 디렉토리 경로를 처리할 때 발생하는 구문 분석 문제는 향상된 경로 유효성 확인을 통해 해결되었습니다.

CVE-2026-28876: Nosebeard Labs의 Andreas Jaegersberger 및 Ro Achterberg

GeoServices

대상: Apple Vision Pro(모든 모델)

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 정보 유출은 유효성 확인을 적용하여 해결되었습니다.

CVE-2026-28870: XiguaSec

iCloud

대상: Apple Vision Pro(모든 모델)

영향: 앱이 사용자의 설치된 앱을 나열할 수 있음

설명: 권한 문제는 추가 제한을 적용하여 해결되었습니다.

CVE-2026-28880: IES Red Team의 Zhongcheng Li

CVE-2026-28833: IES Red Team의 Zhongcheng Li

ImageIO

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 파일을 처리하면 앱이 예기치 않게 종료될 수 있음

설명: 이는 오픈 소스 코드의 취약점이며 Apple 소프트웨어도 영향을 받는 프로젝트입니다. CVE-ID는 타사에서 할당했습니다. cve.org 사이트에서 문제 및 CVE-ID에 대해 자세히 알아보십시오.

CVE-2025-64505

Kernel

대상: Apple Vision Pro(모든 모델)

영향: 앱이 커널 메모리를 공개할 수 있음

설명: 향상된 데이터 교정을 통해 로그 기록 문제가 해결되었습니다.

CVE-2026-28868: 이동하(BoB 0xB6의 Lee Dong Ha)

Kernel

대상: Apple Vision Pro(모든 모델)

영향: 앱이 중요한 커널 상태를 유출할 수 있음

설명: 이 문제는 향상된 인증을 통해 해결되었습니다.

CVE-2026-28867: Jian Lee(@speedyfriend433)

Kernel

대상: Apple Vision Pro(모든 모델)

영향: 앱이 예기치 않은 시스템 종료를 야기하거나 커널 메모리를 손상시킬 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2026-20698: DARKNAVY(@DarkNavyOrg)

libxpc

대상: Apple Vision Pro(모든 모델)

영향: 앱이 사용자의 설치된 앱을 나열할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2026-28882: Voynich Group의 Ilias Morad(A2nkF), Duy Trần(@khanhduytran0), @hugeBlack

Printing

대상: Apple Vision Pro(모든 모델)

영향: 앱이 샌드 박스의 범위를 벗어날 수 있음

설명: 경로 처리 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2026-20688: wdszzml 및 Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

대상: Apple Vision Pro(모든 모델)

영향: 앱이 사용자의 신원을 알아낼 수 있음

설명: 권한 문제는 추가 제한을 적용하여 해결되었습니다.

CVE-2026-28863: Gongyu Ma(@Mezone0)

Security

대상: Apple Vision Pro(모든 모델)

영향: 로컬 공격자가 사용자의 키체인 항목에 대한 접근 권한을 얻을 수 있음

설명: 이 문제는 향상된 권한 검사를 통해 해결되었습니다.

CVE-2026-28864: Alex Radocea

Siri

대상: Apple Vision Pro(모든 모델)

영향: 잠긴 기기에 물리적 접근이 가능한 공격자가 민감한 사용자 정보를 볼 수 있음

설명: 이 문제는 향상된 인증을 통해 해결되었습니다.

CVE-2026-28856: 익명의 연구원

UIFoundation

대상: Apple Vision Pro(모든 모델)

영향: 앱이 서비스 거부를 야기할 수 있음

설명: 향상된 입력 유효성 확인을 통해 스택 오버플로우 문제가 해결되었습니다.

CVE-2026-28852: Caspian Tarafdar

WebKit

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 콘텐츠 보안 정책이 적용되지 못할 수 있음

설명: 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2026-20665: webb

WebKit

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 동일 출처 정책을 우회할 수 있음

설명: Navigation API의 출처 간 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2026-20643: Thomas Espach

WebKit

대상: Apple Vision Pro(모든 모델)

영향: 악의적인 웹사이트가 다른 출처를 위한 스크립트 메시지 핸들러에 접근할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2026-28861: Ant Group Infrastructure Security Team의 Hongze Wu 및 Shuaike Dong

WebKit

대상: Apple Vision Pro(모든 모델)

영향: 악의적인 웹사이트가 샌드박스 외부에서 제한된 웹 콘텐츠를 처리할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 예기치 않은 프로세스 충돌이 발생할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick(Tripton), Emrovsky 및 Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick(Tripton), Daniel Rhea, Nathaniel Oh(@calysteon)

WebKit Sandboxing

대상: Apple Vision Pro(모든 모델)

영향: 악의적으로 제작된 웹 페이지가 사용자의 신원을 알아낼 수 있음

설명: 인증 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2026-20691: Gongyu Ma(@Mezone0)

감사의 말

AirPort

도움을 주신 Yashar Shahinzadeh 님, Saman Ebrahimnezhad 님, Amir Safari 님, Omid Rezaii 님께 감사드립니다.

Bluetooth

도움을 주신 Hamid Mahmoud 님께 감사드립니다.

Captive Network

도움을 주신 Kun Peeks(@SwayZGl1tZyyy) 님께 감사드립니다.

CipherML

도움을 주신 Hasso Plattner Institute의 Nils Hanff(@nils1729@chaos.social) 님께 감사드립니다.

CloudAttestation

도움을 주신 Suresh Sundaram 님, Willard Jansen 님께 감사드립니다.

CoreUI

도움을 주신 Peter Malone 님께 감사드립니다.

Find My

도움을 주신 Salemdomain 님께 감사드립니다.

GPU Drivers

도움을 주신 Jian Lee(@speedyfriend433) 님께 감사드립니다.

ICU

도움을 주신 Jian Lee(@speedyfriend433) 님께 감사드립니다.

Kernel

도움을 주신 DARKNAVY(@DarkNavyOrg) 님, Fuzzinglabs의 Kylian Boulard De Pouqueville 님, Fuzzinglabs의 Patrick Ventuzelo 님, Robert Tran 님, Suresh Sundaram 님께 감사드립니다.

libarchive

도움을 주신 Nosebeard Labs의 Andreas Jaegersberger 및 Ro Achterberg 님 및 Arni Hardarson 님께 감사드립니다.

libc

도움을 주신 Vitaly Simonovich 님께 감사드립니다.

Libnotify

도움을 주신 Ilias Morad(@A2nkF_) 님께 감사드립니다.

LLVM

도움을 주신 Nathaniel Oh(@calysteon) 님께 감사드립니다.

Messages

도움을 주신 JZ 님께 감사드립니다.

MobileInstallation

도움을 주신 Gongyu Ma(@Mezone0) 님께 감사드립니다.

Music

도움을 주신 Mohammad Kaif(@_mkahmad | kaif0x01) 님께 감사드립니다.

Notes

도움을 주신 Shuffle Team의 Dawuge 님 및 Hunan University에 감사드립니다.

ppp

도움을 주신 Dave G. 님께 감사드립니다.

Quick Look

도움을 주신 SecuRing의 Wojciech Regula(wojciechregula.blog) 님 및 익명의 연구원님께 감사드립니다.

Safari

도움을 주신 @RenwaX23 님, Farras Givari 님, Syarif Muhammad Sajjad 님, Yair 님께 감사드립니다.

Shortcuts

도움을 주신 Waleed Barakat(@WilDN00B) 님 및 Paul Montgomery(@nullevent) 님께 감사드립니다.

Siri

도움을 주신 Anand Mallaya 님, Tech consultant 님, Anand Mallaya and Co. 님, Harsh Kirdolia 님, Self-Employed의 Hrishikesh Parmar 님께 감사드립니다.

Time Zone

도움을 주신 Safran Mumbai India의 Abhay Kailasia(@abhay_kailasia) 님께 감사드립니다.

UIKit

도움을 주신 AEC, Safran Mumbai India의 Abhay Kailasia(@abhay_kailasia) 님, Bishal Kafle(@whoisbishal.k) 님, Carlos Luna(U.S. Department of the Navy) 님, Dalibor Milanovic 님, Daren Goodchild 님, JS De Mattei 님, Maxwell Garn 님, Zack Tickman 님, fuyuu12 님, incredincomp 님께 감사드립니다.

Wallet

도움을 주신 ByteDance IES Red Team의 Zhongcheng Li 님께 감사드립니다.

Web Extensions

도움을 주신 Carlos Jeurissen 님, Rob Wu(robwu.nl) 님께 감사드립니다.

WebKit

도움을 주신 Vamshi Paili 님께 감사드립니다.

WebKit Process Model

도움을 주신 Joseph Semaan 님께 감사드립니다.

Wi-Fi

도움을 주신 Kun Peeks(@SwayZGl1tZyyy) 님, 익명의 연구원님께 감사드립니다.

Wi-Fi Connectivity

도움을 주신 Supernetworks, Inc의 Alex Radocea 님께 감사드립니다.

Widgets

도움을 주신 Marcel Voß 님, Mitul Pranjay 님, Serok Çelik 님께 감사드립니다.