Sobre o conteúdo de segurança do visionOS 26.1
Este documento descreve o conteúdo de segurança do visionOS 26.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para mais informações sobre segurança, consulte a página Segurança do produto Apple.
visionOS 26.1
Lançamento: 3 de novembro de 2025
Apple Account
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app malicioso pode conseguir fazer uma captura de tela de informações confidenciais em visualizações incorporadas
Descrição: um problema na privacidade foi resolvido por meio de melhorias nas verificações.
CVE-2025-43455: Ron Masas do BreakPoint.SH, Pinak Oza
Apple Neural Engine
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43447: pesquisador anônimo
CVE-2025-43462: pesquisador anônimo
AppleMobileFileIntegrity
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2025-43407: JZ
Audio
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um invasor com acesso físico a um dispositivo desbloqueado emparelhado com um Mac pode conseguir visualizar informações confidenciais do usuário no registro do sistema
Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode enumerar os apps instalados de um usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-43436: Zhongcheng Li da IES Red Team da ByteDance
CoreText
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-43445: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
FileProvider
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: um problema de privacidade foi resolvido com a transferência de dados confidenciais.
CVE-2025-43507: iisBuri
Installer
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-43444: Zhongcheng Li da IES Red Team da ByteDance
Kernel
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app em área restrita pode observar conexões de rede em todo o sistema
Descrição: um problema de acesso foi resolvido por meio de outras restrições.
CVE-2025-43413: Dave G. e Alex Radocea da supernetworks.org
Mail Drafts
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: o conteúdo remoto poderá ser carregado mesmo quando o ajuste "Carregar Imagens" estiver desativado
Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme da Khatima
Model I/O
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
VE-2025-43386: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
VE-2025-43385: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
VE-2025-43384: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
VE-2025-43383: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Notes
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido por meio da remoção do código vulnerável.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.
CVE-2025-43439: Zhongcheng Li da IES Red Team da ByteDance
Safari
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-43493: @RenwaX23
Safari
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-43503: @RenwaX23
Safari
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade
Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.
CVE-2025-43502: pesquisador anônimo
Sandbox Profiles
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento das preferências do usuário.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 299843
CVE-2025-43443: pesquisador anônimo
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen do Google
WebKit Bugzilla: 298851
CVE-2025-43425: pesquisador anônimo
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias nas verificações
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri em parceria com a Zero Day Initiative da Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: vários problemas foram resolvidos após a desativação do afundamento da alocação de matriz.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
Disponível para: Apple Vision Pro (todos os modelos)
Impacto: um site poderia extrair dados de imagem de origem cruzada
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Outros reconhecimentos
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
MobileInstallation
Gostaríamos de agradecer a Bubble Zhang pela ajuda.
Safari
Gostaríamos de agradecer a Barath Stalin K pela ajuda.
Safari Downloads
Gostaríamos de agradecer a Saello Puza pela ajuda.
Shortcuts
Gostaríamos de agradecer a BanKai, Benjamin Hornbeck, Chi Yuan Chang da ZUSO ART e taikosoup, Ryan May, Andrew James Gonzalez e um pesquisador anônimo pela ajuda.
WebKit
Gostaríamos de agradecer a Enis Maholli (enismaholli.com), Google Big Sleep pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.