Om sikkerhetsinnholdet i visionOS 26.4

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 26.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 26.4

802.1X

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre nettverkstrafikk

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28865: Héloïse Gollier og Mathy Vanhoef (KU Leuven)

Accounts

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28877: Rosyna Keller fra Totally Not Malicious Software

Audio

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2026-28879: Justin Cohen fra Google

Audio

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2026-28822: Jex Amro

CoreMedia

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av en lydstrøm i en skadelig mediefil kan føre til avslutning av prosessen

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2026-20690: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En bruker i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2026-28886: Etienne Charron (Renault) og Victoria Martini (Renault)

Crash Reporter

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2026-28878: Zhongcheng Li fra IES Red Team

curl

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Det var et problem i curl som kunne føre til utilsiktet sending av sensitiv informasjon via feil tilkobling

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.

CVE-2026-28876: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

GeoServices

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28870: XiguaSec

iCloud

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28880: Zhongcheng Li fra IES Red Team

CVE-2026-28833: Zhongcheng Li fra IES Red Team

ImageIO

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-64505

Kernel

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28868: 이동하 (Lee Dong Ha fra BoB 0xB6)

Kernel

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2026-20688: wdszzml og Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En lokal angriper kan få tilgang til brukerens nøkkelringobjekter

Beskrivelse: Problemet ble løst gjennom forbedret rettighetskontroll.

CVE-2026-28864: Alex Radocea

Siri

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2026-28856: En anonym forsker

UIFoundation

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.

CVE-2026-28852: Caspian Tarafdar

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2026-20665: webb

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)

Beskrivelse: Et problem med kryssopprinnelse Navigation-API-en ble løst gjennom forbedret validering av inndata.

CVE-2026-20643: Thomas Espach

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et skadelig nettsted kan få tilgang til skriptmeldingsbehandling ment for andre formål

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28861: Hongze Wu og Shuaike Dong hos Ant Group Infrastructure Security Team

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et skadelig nettsted kan behandle begrenset nettinnhold utenfor sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky og Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Tilgjengelig for Apple Vision Pro (alle modeller)

Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligere anerkjennelser

AirPort

Vi vil gjerne takke Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari og Omid Rezaii for hjelpen.

Bluetooth

Vi vil gjerne takke Hamid Mahmoud for hjelpen.

Captive Network

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.

CipherML

Vi vil gjerne takke Nils Hanff (@nils1729@chaos.social) fra Hasso Plattner Institute for hjelpen.

CloudAttestation

Vi vil gjerne takke Suresh Sundaram og Willard Jansen for hjelpen.

CoreUI

Vi vil gjerne takke Peter Malone for hjelpen.

Find My

Vi vil gjerne takke Salemdomain for hjelpen.

GPU Drivers

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

ICU

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

Kernel

Vi vil gjerne takke DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville fra Fuzzinglabs, Patrick Ventuzelo fra Fuzzinglabs, Robert Tran og Suresh Sundaram for hjelpen.

libarchive

Vi vil gjerne takke Andreas Jaegersberger & Ro Achterberg fra Nosebeard Labs og Arni Hardarson for hjelpen.

libc

Vi vil gjerne takke Vitaly Simonovich for hjelpen.

Libnotify

Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.

LLVM

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

Messages

Vi vil gjerne takke JZ for hjelpen.

MobileInstallation

Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.

Music

Vi vil gjerne takke Mohammad Kaif (@_mkahmad | kaif0x01) for hjelpen.

Notes

Vi vil gjerne takke Dawuge fra Shuffle Team og Hunan University for hjelpen.

ppp

Vi vil gjerne takke Dave G. for hjelpen.

Quick Look

Vi vil gjerne takke Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke @RenwaX23, Farras Givari, Syarif Muhammad Sajjad og Yair for hjelpen.

Shortcuts

Vi vil gjerne takke Waleed Barakat (@WilDN00B) og Paul Montgomery (@nullevent) for hjelpen.

Siri

Vi vil gjerne takke Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia og Hrishikesh Parmar fra Self-Employed for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Safran Mumbai India for hjelpen.

UIKit

Vi vil gjerne takke AEC, Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 og incredincomp for hjelpen.

Wallet

Vi vil gjerne takke Zhongcheng Li fra IES Red Team hos ByteDance for hjelpen.

Web Extensions

Vi vil gjerne takke Carlos Jeurissen og Rob Wu (robwu.nl) for hjelpen.

WebKit

Vi vil gjerne takke Vamshi Paili for hjelpen.

WebKit Process Model

Vi vil gjerne takke Joseph Semaan for hjelpen.

Wi-Fi

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) og en anonym forsker for hjelpen.

Wi-Fi Connectivity

Vi vil gjerne takke Alex Radocea fra Supernetworks, Inc for hjelpen.

Widgets

Vi vil gjerne takke Marcel Voß, Mitul Pranjay og Serok Çelik for hjelpen.