Om sikkerhetsinnholdet i visionOS 26.2

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 26.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 26.2

App Store

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive betalingstokener

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-46288: floeki, Zhongcheng Li fra IES Red Team hos ByteDance

AppleJPEG

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En angriper kan være i stand til å forfalske anrops-ID-en sin for FaceTime

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-46287: en anonym forsker, Riley Walz

curl

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Flere problemer i curl

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Passordfelt kan vises utilsiktet når en enhet styres eksternt via FaceTime

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-43542: Yiğit Ocak

Foundation

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelige data kan føre til uventet appavslutning

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret grensekontroll.

CVE-2025-43532: Andrew Calvano og Lucas Pinheiro fra Meta Product Security

Icons

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan være i stand til å identifisere hvilke andre apper en bruker har installert

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Et problem med heltallsoverflyt ble løst ved å ta i bruk 64-bits tidsstempler.

CVE-2025-46285: Kaitao Xie og Xiaolong Bai fra Alibaba Group

Messages

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med informasjonsdeling ble løst med forbedrede personvernkontroller.

CVE-2025-46276: Rosyna Keller fra Totally Not Malicious Software

Multi-Touch

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En skadelige HID-enhet kan forårsake uventet prosesstopp

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2025-43533: Google Threat Analysis Group

Photos

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Bilder i Skjulte bilder-albumet kan være tilgjengelige uten autentisering

Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.

CVE-2025-43428: en anonym forsker, Michael Schmutzer fra Technische Hochschule Ingolstadt

Screen Time

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43538: Iván Savransky

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43541: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2025-43501: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2025-43531: Phil Pizlo fra Epic Games

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 26. CVE-2025-14174 ble også utstedt som en følge av denne rapporten.

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet i et ekstremt sofistikert angrep mot spesifikke utsatte personer på versjoner av iOS før iOS 26. CVE-2025-43529 ble også utstedt som en følge av denne rapporten.

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2025-14174: Apple og Google Threat Analysis Group

WebKit Web Inspector

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-43511: 이동하 (Lee Dong Ha fra BoB 14th)

Ytterligere anerkjennelser

AppleMobileFileIntegrity

Vi vil gjerne takke en anonym forsker for hjelpen.

Core Services

Vi vil gjerne takke Golden Helm Securities for hjelpen.

Safari

Vi vil gjerne takke Mochammad Nosa Shandy Prastyo for hjelpen.

WebKit

Vi vil gjerne takke Geva Nurgandi Syahputra (gevakun) for hjelpen.