Om sikkerhetsinnholdet i visionOS 26

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 26.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 26

AppleMobileFileIntegrity

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43344: en anonym forsker

Audio

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43346: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative

Bluetooth

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43354: Csaba Fitzl (@theevilbit) fra Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) fra Kandji

CoreAudio

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2025-43349: @zlluny i samarbeid med Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-43372: 이동하 (Lee Dong Ha) fra SSA Lab

DiskArbitration

Tilgjengelig for: Apple Vision Pro

Virkning: En skadelig app kan få rotrettigheter

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43316: Csaba Fitzl (@theevilbit) fra Kandji, en anonym forsker

IOHIDFamily

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-43302: Keisuke Hosoda

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En UDP-serversokkel bundet til et lokalt grensesnitt kan bli bundet til alle grensesnitt

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2025-43355: Dawuge fra Shuffle Team

Spell Check

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-6965

System

Tilgjengelig for: Apple Vision Pro

Virkning: Et problem med validering av inndata ble løst

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Et nettsted kan få tilgang til sensorinformasjon uten brukerens samtykke

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2025-43356: Jaydev Ahire

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43272: Big Bear

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43343: en anonym forsker

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.

CVE-2025-43342: en anonym forsker

Ytterligere anerkjennelser

AuthKit

Vi vil gjerne takke Rosyna Keller fra Totally Not Malicious Software for hjelpen.

Calendar

Vi vil gjerne takke Keisuke Chinone (Iroiro) for hjelpen.

CFNetwork

Vi vil gjerne takke Christian Kohlschütter for hjelpen.

CloudKit

Vi vil gjerne takke Yinyi Wu (@_3ndy1) fra Dawn Security Lab hos JD.com, Inc for hjelpen.

Control Center

Vi vil gjerne takke Damitha Gunawardena for hjelpen.

CoreMedia

Vi vil gjerne takke Noah Gregory (wts.dev) for hjelpen.

darwinOS

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

Files

Vi vil gjerne takke Tyler Montgomery for hjelpen.

Foundation

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

ImageIO

Vi vil gjerne takke DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat for hjelpen.

IOGPUFamily

Vi vil gjerne takke Wang Yu fra Cyberserval for hjelpen.

Kernel

Vi vil gjerne takke Yepeng Pan og Prof. Dr. Christian Rossow for hjelpen.

libc

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

libpthread

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

libxml2

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

mDNSResponder

Vi vil gjerne takke Barrett Lyon for hjelpen.

Networking

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

Notes

Vi vil gjerne takke Atul R V for hjelpen.

Passwords

Vi vil gjerne takke Christian Kohlschütter for hjelpen.

Safari

Vi vil gjerne takke Ameen Basha M K for hjelpen.

Sandbox Profiles

Vi vil gjerne takke Rosyna Keller fra Totally Not Malicious Software for hjelpen.

Spotlight

Vi vil gjerne takke Christian Scalese for hjelpen.

Transparency

Vi vil gjerne takke Wojciech Regula fra SecuRing (wojciechregula.blog), 要乐奈 for hjelpen.

WebKit

Vi vil gjerne takke Bob Lord, Matthew Liang, Mike Cardwell fra grepular.com for hjelpen.

Wi-Fi

Vi vil gjerne takke Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) fra Kandji, Noah Gregory (wts.dev), Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym forsker for hjelpen.