Zawartość związana z zabezpieczeniami w systemie visionOS 26

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 26.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

visionOS 26

AppleMobileFileIntegrity

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43344: anonimowy badacz

Audio

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43346: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Bluetooth

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z Kandji

CoreAudio

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43349: @zlluny pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43372: 이동하 (Lee Dong Ha) z SSA Lab

DiskArbitration

Dostępne dla: Apple Vision Pro

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43316: Csaba Fitzl (@theevilbit) z Kandji, anonimowy badacz

IOHIDFamily

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43302: Keisuke Hosoda

Kernel

Dostępne dla: Apple Vision Pro

Zagrożenie: gniazdo serwera UDP powiązane z interfejsem lokalnym może stać się powiązane ze wszystkimi interfejsami.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2025-43355: Dawuge z Shuffle Team

Spell Check

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-6965

System

Dostępne dla: Apple Vision Pro

Zagrożenie: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43272: Big Bear

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43343: anonimowy badacz

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd poprawności przez poprawienie sprawdzania.

CVE-2025-43342: anonimowy badacz

Dodatkowe podziękowania

AuthKit

Dziękujemy za udzieloną pomoc: Rosyna Keller z Totally Not Malicious Software.

Calendar

Dziękujemy za udzieloną pomoc: Keisuke Chinone (Iroiro).

CFNetwork

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

CloudKit

Dziękujemy za udzieloną pomoc: Yinyi Wu (@_3ndy1) z Dawn Security Lab firmy JD.com, Inc.

Control Center

Dziękujemy za udzieloną pomoc: Damitha Gunawardena.

CoreMedia

Dziękujemy za udzieloną pomoc: Noah Gregory (wts.dev).

darwinOS

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Files

Dziękujemy za udzieloną pomoc: Tyler Montgomery.

Foundation

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

ImageIO

Dziękujemy za udzieloną pomoc: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) z Enki WhiteHat.

IOGPUFamily

Dziękujemy za udzieloną pomoc: Wang Yu z Cyberserval.

Kernel

Dziękujemy za udzieloną pomoc: Yepeng Pan, prof. dr Christian Rossow.

libc

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libpthread

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

libxml2

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

mDNSResponder

Dziękujemy za udzieloną pomoc: Barrett Lyon.

Networking

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Kandji.

Notes

Dziękujemy za udzieloną pomoc: Atul R V.

Passwords

Dziękujemy za udzieloną pomoc: Christian Kohlschütter.

Safari

Dziękujemy za udzieloną pomoc: Ameen Basha M K.

Sandbox Profiles

Dziękujemy za udzieloną pomoc: Rosyna Keller z Totally Not Malicious Software.

Spotlight

Dziękujemy za udzieloną pomoc: Christian Scalese.

Transparency

Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog), 要乐奈.

WebKit

Dziękujemy za udzieloną pomoc: Bob Lord, Matthew Liang, Mike Cardwell z grepular.com.

Wi-Fi

Dziękujemy za udzieloną pomoc: Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z Kandji, Noah Gregory (wts.dev), Wojciech Reguła z SecuRing (wojciechregula.blog), anonimowy badacz.