Om sikkerhetsinnholdet i visionOS 26.5
Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 26.5.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på siden for Apple-produktsikkerhet.
visionOS 26.5
Utgitt 11. mai 2026
Accelerate
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan forårsake tjenestenekt
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan omgå enkelte personvernpreferanser
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2026-28988: Asaf Cohen
APFS
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2026-28959: Dave G.
App Intents
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En skadelig app kan være i stand til å bryte ut av sandkassen sin
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society
AppleJPEG
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.
CVE-2026-1837
AppleJPEG
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2026-28956: impost0r (ret2plt)
Audio
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan avslutte prosessen
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2026-39869: David Ige fra Beryllium Security
CoreAnimation
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2026-28936: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs
CoreSymbolication
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Analyse av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2026-28918: Niels Hofmans, Anonymous i samarbeid med TrendAI Zero Day Initiative
FileProvider
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2026-43659: Alex Radocea
ImageIO
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2026-28977: Suresh Sundaram
ImageIO
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan skade prosessminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En angriper kan forårsake uventet appavslutning
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet
Beskrivelse: En bufferoverskridelse ble løst med bedre validering av inndata.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)
LaunchServices
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av et skadelig bilde kan skade prosessminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative
Networking
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En angriper kan være i stand til å spore brukere via IP-adressen deres
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2026-28846: Peter Malone
Shortcuts
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.
CVE-2026-28993: Doron Assness
Spotlight
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.
CVE-2026-28974: Andy Koo (@andykoo) fra Hexens
Status Bar
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan ta bilde av en brukers skjerm
Beskrivelse: Et problem med apptilgang til kamerametadata ble løst gjennom forbedret logikk.
CVE-2026-28957: Adriatik Raci
Storage
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2026-28996: Alex Radocea
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede tilgangsrestriksjoner.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu og Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), Anonymous i samarbeid med TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac og Kookhwan Lee i samarbeid med TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst med forbedret databeskyttelse.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: En skadelig iframe kan bruke nedlastingsinnstillingene for et annet nettsted
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr og Nicholas Carlini with Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu fra Palo Alto Networks, Jérôme DJOUDER, dr3dd
zlib
Tilgjengelig for Apple Vision Pro (alle modeller)
Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger
Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.
CVE-2026-28920: Brendon Tiszka hos Google Project Zero
Ytterligere anerkjennelser
App Intents
Vi vil gjerne takke Mikael Kinnman for hjelpen.
Apple Account
Vi vil gjerne takke Iván Savransky, YingQi Shi (@Mas0nShi) fra DBAppSecuritys WeBin lab for hjelpen.
AuthKit
Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.
CoreUI
Vi vil gjerne takke Mustafa Calap for hjelpen.
ICU
Vi vil gjerne takke en anonym forsker for hjelpen.
Kernel
Vi vil gjerne takke Ryan Hileman via Xint Code (xint.io) og en anonym forsker for hjelpen.
libnetcore
Vi vil gjerne takke Chris Staite og David Hardy fra Menlo Security Inc for hjelpen.
Libnotify
Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.
Location
Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.
Vi vil gjerne takke Himanshu Bharti (@Xpl0itme) fra Khatima for hjelpen.
mDNSResponder
Vi vil gjerne takke Jason Grove for hjelpen.
Notes
Vi vil gjerne takke Asilbek Salimov for hjelpen.
Siri
Vi vil gjerne takke Yoav Magid for hjelpen.
WebKit
Vi vil gjerne takke Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera og Vitaly Simonovich for hjelpen.
WebRTC
Vi vil gjerne takke Hyeonji Son (@jir4vv1t) fra Demon Team for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.