Over de beveiligingsinhoud van visionOS 26

In dit artikel wordt de beveiligingsinhoud van visionOS 26 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

visionOS 26

AppleMobileFileIntegrity

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43344: een anonieme onderzoeker

Audio

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43346: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Bluetooth

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43354: Csaba Fitzl (@theevilbit) van Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) van Kandji

CoreAudio

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-43349: @zlluny in samenwerking met Trend Micro Zero Day Initiative

CoreMedia

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43372: 이동하 (Lee Dong Ha) of SSA Lab

DiskArbitration

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43316: Csaba Fitzl (@theevilbit) van Kandji, een anonieme onderzoeker

IOHIDFamily

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43302: Keisuke Hosoda

Kernel

Beschikbaar voor: Apple Vision Pro

Impact: een UDP-serveraansluiting gebonden aan een lokale interface kan aan alle interfaces worden gebonden.

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43355: Dawuge van Shuffle Team

Spell Check

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6965

System

Beschikbaar voor: Apple Vision Pro

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: een website heeft mogelijk toegang tot sensorinformatie zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43272: Big Bear

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43343: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-43342: een anonieme onderzoeker

Aanvullende erkenning

AuthKit

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Calendar

Met dank aan Keisuke Chinone (Iroiro) voor de hulp.

CFNetwork

Met dank aan Christian Kohlschütter voor de hulp.

CloudKit

Met dank aan Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc voor de hulp.

Control Center

Met dank aan Damitha Gunawardena voor de hulp.

CoreMedia

Met dank aan Noah Gregory (wts.dev) voor de hulp.

darwinOS

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Files

Met dank aan Tyler Montgomery voor de hulp.

Foundation

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

ImageIO

Met dank aan DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat voor de hulp.

IOGPUFamily

Met dank aan Wang Yu van Cyberserval voor de hulp.

Kernel

Met dank aan Yepeng Pan, Prof. Dr. Christian Rossow voor de hulp.

libc

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libpthread

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libxml2

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

mDNSResponder

Met dank aan Barrett Lyon voor de hulp.

Networking

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

Notes

Met dank aan Atul R V voor de hulp.

Passwords

Met dank aan Christian Kohlschütter voor de hulp.

Safari

Met dank aan Ameen Basha M K voor de hulp.

Sandbox Profiles

Met dank aan Rosyna Keller van Totally Not Malicious Software voor de hulp.

Spotlight

Met dank aan Christian Scalese voor de hulp.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog), 要乐奈 voor de hulp.

WebKit

Met dank aan Bob Lord, Matthew Liang, Mike Cardwell van grepular.com voor de hulp.

Wi-Fi

Met dank aan Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) van Kandji, Noah Gregory (wts.dev), Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker voor de hulp.