Over de beveiligingsinhoud van visionOS 26.1

In dit document wordt de beveiligingsinhoud van visionOS 26.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

visionOS 26.1

Apple Account

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een schadelijke app kan in staat zijn om een screenshot te maken van gevoelige informatie in ingesolten weergave

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2025-43455: Ron Masas of BreakPoint.SH, Pinak Oza

Apple Neural Engine

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43447: een anonieme onderzoeker

CVE-2025-43462: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2025-43407: JZ

Audio

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een aanvaller met fysieke toegang tot een ontgrendeld apparaat dat is gekoppeld met een Mac, kan vertrouwelijke gebruikersgegevens zien in de systeemregistratie

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43436: Zhongcheng Li van IES Red Team van ByteDance

CoreText

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-43445: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

FileProvider

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: er is een privacyprobleem verholpen door gevoelige gegevens te verplaatsen.

CVE-2025-43507: iisBuri

Installer

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43444: Zhongcheng Li van IES Red Team van ByteDance

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43398: Cristian Dinca (icmd.tech)

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een kwaadaardig programma kan onverwachte wijzigingen veroorzaken in geheugen dat wordt gedeeld door processen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde controle van de vergrendelde status.

CVE-2025-43510: Apple

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een schadelijk programma kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2025-43520: Apple

libxpc

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2025-43413: Dave G. en Alex Radocea van supernetworks.org

Mail

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een aanvaller kan mogelijk in staat zijn om een aanhoudende denial-of-service te veroorzaken

Beschrijving: een probleem met het parseren van mail headers is verholpen door middel van verbeterde controles.

CVE-2025-43494: Taavi Eomäe van Zone Media (zone.ee)

Mail Drafts

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: extern materiaal kan worden geladen, zelfs als de instelling 'Laad externe afbeeldingen' is uitgeschakeld

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme van Khatima

Model I/O

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43386: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

Notes

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-43439: Zhongcheng Li van IES Red Team van ByteDance

Safari

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43493: @RenwaX23

Safari

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2025-43503: @RenwaX23

Safari

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2025-43502: een anonieme onderzoeker

Sandbox Profiles

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er is een privacyprobleem verholpen door verbeterde verwerking van gebruikersvoorkeuren.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43480: Aleksejs Popovs

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-43443: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen van Google

CVE-2025-43425: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43438: rheza (@ginggilBesel), shandikri in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) van het Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43432: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2025-43429: Google Big Sleep

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Omschrijving: meerdere problemen zijn opgelost door het uitschakelen van array allocation sinking.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een website kan afbeeldingsgegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43392: Tom Van Goethem

Aanvullende erkenning

Mail

Met dank aan een anonieme onderzoeker voor de hulp.

MobileInstallation

Met dank aan Bubble Zhang voor de hulp.

Safari

Met dank aan Barath Stalin K en Syarif Muhammad Sajjad voor de hulp.

Safari Downloads

Met dank aan Saello Puza en Syarif Muhammad Sajjad voor de hulp.

Shortcuts

Met dank aan BanKai, Benjamin Hornbeck, Chi Yuan Chang van ZUSO ART en taikosoup, Ryan May, Andrew James Gonzalez, een anonieme onderzoeker voor de hulp.

WebKit

Met dank aan Enis Maholli (enismaholli.com), Google Big Sleep voor de hulp.