Over de beveiligingsinhoud van visionOS 26.5

In dit document wordt de beveiligingsinhoud van visionOS 26.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

visionOS 26.5

Accelerate

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-28988: Asaf Cohen

APFS

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28959: Dave G.

App Intents

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een kwaadaardige app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) voor Reverse Society

AppleJPEG

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2026-1837

AppleJPEG

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2026-28956: impost0r (ret2plt)

Audio

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan leiden tot het beëindigen van het proces

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-39869: David Ige van Beryllium Security

CoreAnimation

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner en Riccardo Paccagnella

CoreServices

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2026-28936: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs

CoreSymbolication

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het parsen van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-28918: Niels Hofmans, Anoniem in samenwerking met TrendAI Zero Day Initiative

FileProvider

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-43659: Alex Radocea

ImageIO

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-28977: Suresh Sundaram

ImageIO

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking en Ashish Kunwar

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een bufferoverloop is verholpen door verbeterde invoervalidatie.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-28972: Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

LaunchServices

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-43668: Anton Pakhunov en Ricardo Prado

mDNSResponder

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28940: Michael DePlante (@izobashi) van TrendAI Zero Day Initiative

Networking

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een kwaadwillende kan gebruikers mogelijk volgen via hun IP-adres

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een aanvaller op afstand kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28846: Peter Malone

Shortcuts

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een extra melding toe te voegen waarin de gebruiker om toestemming gevraagd wordt.

CVE-2026-28993: Doron Assness

Spotlight

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2026-28974: Andy Koo (@andykoo) van Hexens

Status Bar

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan het scherm van een gebruiker vastleggen

Beschrijving: een probleem met de toegang van apps tot de metagegevens van de camera is opgelost door verbeterde logica.

CVE-2026-28957: Adriatik Raci

Storage

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28996: Alex Radocea

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2026-43660: Cantina

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28907: Cantina

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43658: Do Young Park

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu en Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anoniem in samenwerking met TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac en Kookhwan Lee in samenwerking met TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) van Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle Offensive Security Research Team (Joshua Rogers, Luigino Camastra, Igor Morgenstern en Guido Vranken), Maher Azzouzi, Ngan Nguyen van Calif.io

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2026-28958: Cantina

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een kwaadaardig iframe kan de downloadinstellingen van een andere website gebruiken

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

CVE-2026-28971: Khiem Tran

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28942: Milad Nasr en Nicholas Carlini met Claude, Anthropic

CVE-2026-28947: dr3dd

WebKit

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28917: Vitaly Simonovich

WebRTC

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28944: Kenneth Hsu van Palo Alto Networks, Jérôme DJOUDER, dr3dd

zlib

Beschikbaar voor: Apple Vision Pro (alle modellen)

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28920: Brendon Tiszka van Google Project Zero

Aanvullende erkenning

App Intents

Met dank aan Mikael Kinnman voor de hulp.

Apple Account

Met dank aan Iván Savransky, YingQi Shi (@Mas0nShi) van het WeBin lab van DBAppSecurity voor de hulp.

AuthKit

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

CoreUI

Met dank aan Mustafa Calap voor de hulp.

ICU

Met dank aan een anonieme onderzoeker voor de hulp.

Kernel

Met dank aan Ryan Hileman via Xint Code (xint.io) en een anonieme onderzoeker voor de hulp.

libnetcore

Met dank aan Chris Staite en David Hardy van Menlo Security Inc voor de hulp.

Libnotify

Met dank aan Ilias Morad (@A2nkF_) voor de hulp.

Location

Met dank aan Kun Peeks (@SwayZGl1tZyyy) voor de hulp.

Mail

Met dank aan Himanshu Bharti (@Xpl0itme) van Khatima voor de hulp.

mDNSResponder

Met dank aan Jason Grove voor de hulp.

Notes

Met dank aan Asilbek Salimov voor de hulp.

Siri

Met dank aan Yoav Magid voor de hulp.

WebKit

Met dank aan Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich voor de hulp.

WebRTC

Met dank aan Hyeonji Son (@jir4vv1t) van Demon Team voor de hulp.