Over de beveiligingsinhoud van visionOS 26.1
In dit document wordt de beveiligingsinhoud van visionOS 26.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
visionOS 26.1
Gepubliceerd op 3 november 2025
Apple Account
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een schadelijke app kan in staat zijn om een screenshot te maken van gevoelige informatie in ingesloten weergave
Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.
CVE-2025-43455: Ron Masas van BreakPoint.SH, Pinak Oza
Apple Neural Engine
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43447: een anonieme onderzoeker
CVE-2025-43462: een anonieme onderzoeker
AppleMobileFileIntegrity
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2025-43407: JZ
Audio
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat dat gekoppeld is aan een Mac kan in staat zijn om gevoelige gebruikersinformatie te bekijken in de logboekregistratie van het systeem
Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-43436: Zhongcheng Li van IES Red Team van ByteDance
CoreText
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2025-43445: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
FileProvider
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: er is een privacyprobleem verholpen door gevoelige gegevens te verplaatsen.
CVE-2025-43507: iisBuri
Installer
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-43444: Zhongcheng Li van IES Red Team van ByteDance
Kernel
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2025-43413: Dave G. en Alex Radocea van supernetworks.org
Mail Drafts
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: Content op afstand kan worden geladen, zelfs als de instelling 'Afbeeldingen op afstand laden' is uitgeschakeld
Beschrijving: dit probleem is verholpen door extra logica toe te voegen.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme van Khatima
Model I/O
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2025-43386: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
CVE-2025-43385: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
CVE-2025-43384: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
CVE-2025-43383: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
Notes
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door de kwetsbare code te verwijderen.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: een privacy probleem is verholpen door gevoelige gegevens te verwijderen.
CVE-2025-43439: Zhongcheng Li van IES Red Team van ByteDance
Safari
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-43493: @RenwaX23
Safari
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2025-43503: @RenwaX23
Safari
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: een privacy probleem is verholpen door gevoelige gegevens te verwijderen.
CVE-2025-43502: een anonieme onderzoeker
Sandbox Profiles
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er is een privacyprobleem verholpen door verbeterde verwerking van gebruikersvoorkeuren.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 299843
CVE-2025-43443: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen van Google
WebKit Bugzilla: 298851
CVE-2025-43425: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterde controles
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri in samenwerking met het Zero Day Initiative van Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) van het Trend Micro Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Omschrijving: meerdere problemen zijn opgelost door het uitschakelen van array allocation sinking.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
Beschikbaar voor: Apple Vision Pro (alle modellen)
Impact: een website kan afbeeldingsgegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Aanvullende erkenning
Met dank aan een anonieme onderzoeker voor de hulp.
MobileInstallation
Met dank aan Bubble Zhang voor de hulp.
Safari
Met dank aan Barath Stalin K voor de hulp.
Safari Downloads
Met dank aan Saello Puza voor de hulp.
Shortcuts
Met dank aan BanKai, Benjamin Hornbeck, Chi Yuan Chang van ZUSO ART en taikosoup, Ryan May, Andrew James Gonzalez, een anonieme onderzoeker voor de hulp.
WebKit
Met dank aan Enis Maholli (enismaholli.com), Google Big Sleep voor de hulp
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.