Sobre o conteúdo de segurança do visionOS 26

Este documento descreve o conteúdo de segurança do visionOS 26.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

visionOS 26

AppleMobileFileIntegrity

Disponível para: Apple Vision Pro

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Disponível para: Apple Vision Pro

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43344: pesquisador anônimo

Audio

Disponível para: Apple Vision Pro

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43346: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Bluetooth

Disponível para: Apple Vision Pro

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2025-43354: Csaba Fitzl (@theevilbit) da Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) da Kandji

CoreAudio

Disponível para: Apple Vision Pro

Impacto: processar um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-43349: @zlluny em parceria com a Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple Vision Pro

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.

CVE-2025-43372: 이동하 (Lee Dong Ha) do SSA Lab

DiskArbitration

Disponível para: Apple Vision Pro

Impacto: um app malicioso pode obter privilégios de raiz

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43316: Csaba Fitzl (@theevilbit) da Kandji, um pesquisador anônimo

IOHIDFamily

Disponível para: Apple Vision Pro

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43302: Keisuke Hosoda

Kernel

Disponível para: Apple Vision Pro

Impacto: um soquete de servidor UDP vinculado a uma interface local pode se tornar vinculado a todas as interfaces

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Disponível para: Apple Vision Pro

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43355: Dawuge da Shuffle Team

Spell Check

Disponível para: Apple Vision Pro

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Disponível para: Apple Vision Pro

Impacto: o processamento de um arquivo pode causar corrupção da memória

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-6965

System

Disponível para: Apple Vision Pro

Impacto: um problema na validação de entradas foi resolvido

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Disponível para: Apple Vision Pro

Impacto: um site pode acessar informações do sensor sem o consentimento do usuário

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Disponível para: Apple Vision Pro

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43272: Big Bear

WebKit

Disponível para: Apple Vision Pro

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43343: pesquisador anônimo

WebKit

Disponível para: Apple Vision Pro

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de correção foi resolvido por meio de melhorias nas verificações.

CVE-2025-43342: pesquisador anônimo

Outros reconhecimentos

AuthKit

Gostaríamos de agradecer a Rosyna Keller, da Totally Not Malicious Software, pela ajuda.

Calendar

Gostaríamos de agradecer a Keisuke Chinone (Iroiro) pela ajuda.

CFNetwork

Gostaríamos de agradecer a Christian Kohlschütter pela ajuda.

CloudKit

Gostaríamos de agradecer a Yinyi Wu (@_3ndy1) do Dawn Security Lab da JD.com, Inc. pela ajuda.

Control Center

Gostaríamos de agradecer a Damitha Gunawardena pela ajuda.

CoreMedia

Gostaríamos de agradecer a Noah Gregory (wts.dev) pela ajuda.

darwinOS

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

Files

Gostaríamos de agradecer a Tyler Montgomery pela ajuda.

Foundation

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela ajuda.

ImageIO

Gostaríamos de agradecer a DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) da Enki WhiteHat pela ajuda.

IOGPUFamily

Gostaríamos de agradecer a Wang Yu da Cyberserval pela ajuda.

Kernel

Gostaríamos de agradecer a Yepeng Pan e ao Prof. Dr. Christian Rossow pela ajuda.

libc

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

libpthread

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

libxml2

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

mDNSResponder

Gostaríamos de agradecer a Barrett Lyon pela ajuda.

Networking

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela ajuda.

Notes

Gostaríamos de agradecer a Atul R V pela ajuda.

Passwords

Gostaríamos de agradecer a Christian Kohlschütter pela ajuda.

Safari

Gostaríamos de agradecer a Ameen Basha M K pela ajuda.

Sandbox Profiles

Gostaríamos de agradecer a Rosyna Keller, da Totally Not Malicious Software, pela ajuda.

Spotlight

Gostaríamos de agradecer a Christian Scalese pela ajuda.

Transparency

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog), 要乐奈 pela ajuda.

WebKit

Gostaríamos de agradecer a Bob Lord, Matthew Liang, Mike Cardwell, do grepular.com, pela ajuda.

Wi-Fi

Gostaríamos de agradecer a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit), da Kandji, Noah Gregory (wts.dev), Wojciech Regula, do SecuRing (wojciechregula.blog), um pesquisador anônimo, pela ajuda.