Om sikkerhetsinnholdet i visionOS 26.1

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 26.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 26.1

Apple Account

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En skadelig app kan være i stand til å ta skjermbilder av sensitiv informasjon i innbygde visninger

Beskrivelse: Et personvernproblem ble løst med forbedrede kontroller.

CVE-2025-43455: Ron Masas fra BreakPoint.SH, Pinak Oza

Apple Neural Engine

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43447: en anonym forsker

CVE-2025-43462: en anonym forsker

AppleMobileFileIntegrity

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til beskyttede brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.

CVE-2025-43407: JZ

Audio

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En angriper med fysisk tilgang til en ulåst enhet sammenkoblet med en Mac kan være i stand til å se sensitiv brukerinformasjon i systemlogger

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43436: Zhongcheng Li fra IES Red Team i ByteDance

CoreText

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2025-43445: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

FileProvider

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive data.

CVE-2025-43507: iisBuri

Installer

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43444: Zhongcheng Li fra IES Red Team i ByteDance

Kernel

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app som kjøres i sandkasse kan observere systemomfattende nettverksforbindelser

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2025-43413: Dave G. og Alex Radocea fra supernetworks.org

Mail Drafts

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Eksternt innhold kan lastes inn selv når innstillingen «Last inn eksternt innhold» er slått av

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme fra Khatima

Model I/O

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43386: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Notes

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med personvern ble løst ved å fjerne den sårbare koden.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2025-43439: Zhongcheng Li fra IES Red Team i ByteDance

Safari

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-43493: @RenwaX23

Safari

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43503: @RenwaX23

Safari

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et program kan være i stand til å omgå enkelte personvernpreferanser

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2025-43502: en anonym forsker

Sandbox Profiles

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av brukerinnstillinger.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-43480: Aleksejs Popovs

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-43443: en anonym forsker

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen fra Google

CVE-2025-43425: en anonym forsker

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43438: shandikri i samarbeid med Trend Micro Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43432: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-43429: Google Big Sleep

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Flere problemer ble løst ved å deaktivere sammenstilling av matriseallokeringer.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et nettsted kan eksfiltrere bildedata på tvers av opphav

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2025-43392: Tom Van Goethem

Ytterligere anerkjennelser

Mail

Vi vil gjerne takke en anonym forsker for hjelpen.

MobileInstallation

Vi vil gjerne takke Bubble Zhang for hjelpen.

Safari

Vi vil gjerne takke Barath Stalin K for hjelpen.

Safari Downloads

Vi vil gjerne takke Saello Puza for hjelpen.

Shortcuts

Vi vil gjerne takke BanKai, Benjamin Hornbeck, Chi Yuan Chang fra ZUSO ART og taikosoup, Ryan May, Andrew James Gonzalez, en anonym forsker for hjelpen.

WebKit

Vi vil gjerne takke Enis Maholli (enismaholli.com), Google Big Sleep for hjelpen.