Sobre o conteúdo de segurança do visionOS 26.4

Este documento descreve o conteúdo de segurança do visionOS 26.4.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

visionOS 26.4

802.1X

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Accounts

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28877: Rosyna Keller do Totally Not Malicious Software

Audio

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28879: Justin Cohen do Google

Audio

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um invasor poderia causar um desligamento inesperado de apps

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28822: Jex Amro

CoreMedia

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de um fluxo de áudio em um arquivo de mídia criado de forma mal-intencionada pode encerrar o processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um usuário em uma posição de rede privilegiada poderia ser capaz de causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: havia um problema no curl que pode resultar no envio não intencional de informações confidenciais por meio de uma conexão incorreta

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-14524

DeviceLink

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2026-28876: Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs

GeoServices

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um vazamento de informações foi resolvido por meio de validação adicional.

CVE-2026-28870: XiguaSec

iCloud

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-28880: Zhongcheng Li da IES Red Team

CVE-2026-28833: Zhongcheng Li da IES Red Team

ImageIO

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-64505

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.

CVE-2026-28868: 이동하 (Lee Dong Ha da BoB 0xB6)

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-28882: Ilias Morad (A2nkF) do Voynich Group, Duy Trần (@khanhduytran0), @hugeBlackk

Printing

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2026-20688: wdszzml e Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um invasor local pode obter acesso a itens das chaves do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações de permissões.

CVE-2026-28864: Alex Radocea

Siri

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: o problema foi resolvido por meio de melhorias no processo de autenticação.

CVE-2026-28856: pesquisador anônimo

UIFoundation

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um estouro de pilha foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20665: webb

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode ignorar a Política de Mesma Origem

Descrição: um problema de origem cruzada na API Navigation foi resolvido com a validação aprimorada de entrada.

CVE-2026-20643: Thomas Espach

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um site malicioso pode ser capaz de acessar manipuladores de mensagens de script destinados a outras origens

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28861: Hongze Wu e Shuaike Dong da Ant Group Infrastructure Security Team

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um site malicioso pode ser capaz de processar conteúdo restrito da web fora da sandbox

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma página da Web criada com códigos maliciosos pode criar uma representação exclusiva do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Outros reconhecimentos

AirPort

Gostaríamos de agradecer a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari e Omid Rezaii pela ajuda.

Bluetooth

Queremos agradecer a Hamid Mahmoud pela ajuda.

Captive Network

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) pela ajuda.

CipherML

Gostaríamos de agradecer a Nils Hanff (@nils1729@chaos.social), do Hasso Plattner Institute, pela ajuda.

CloudAttestation

Gostaríamos de agradecer a Suresh Sundaram e a Willard Jansen pela ajuda.

CoreUI

Gostaríamos de agradecer a Peter Malone pela ajuda.

Find My

Gostaríamos de agradecer a Salemdomain pela ajuda.

GPU Drivers

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela ajuda.

ICU

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela ajuda.

Kernel

Gostaríamos de agradecer a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville, do Fuzzinglabs, Patrick Ventuzelo, do Fuzzinglabs, Robert Tran e Suresh Sundaram pela ajuda.

libarchive

Gostaríamos de agradecer a Andreas Jaegersberger e Ro Achterberg, do Nosebeard Labs, e Arni Hardarson pela ajuda.

libc

Gostaríamos de agradecer a Vitaly Simonovich pela ajuda.

Libnotify

Gostaríamos de agradecer a Ilias Morad (@A2nkF_) pela ajuda.

LLVM

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

Messages

Gostaríamos de agradecer a JZ pela ajuda.

MobileInstallation

Gostaríamos de agradecer a Gongyu Ma (@Mezone0) pela ajuda.

Music

Gostaríamos de agradecer a Mohammad Kaif (@_mkahmad | kaif0x01) pela ajuda.

Notes

Gostaríamos de agradecer a Dawuge, da Shuffle Team and Hunan University, pela ajuda.

ppp

Gostaríamos de agradecer a Dave G. pela ajuda.

Quick Look

Gostaríamos de agradecer a Wojciech Regula, do SecuRing (wojciechregula.blog), e um pesquisador anônimo pela ajuda.

Safari

Gostaríamos de agradecer a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad e Yair pela ajuda.

Shortcuts

Gostaríamos de agradecer a Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) pela ajuda.

Siri

Gostaríamos de agradecer a Anand Mallaya, consultor técnico, Anand Mallaya e Co., Harsh Kirdolia, Hrishikesh Parmar, profissional autônomo, pela ajuda.

Time Zone

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela ajuda.

UIKit

Gostaríamos de agradecer a AEC, Abhay Kailasia (@abhay_kailasia), da Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento da Marinha dos EUA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp pela ajuda.

Wallet

Gostaríamos de agradecer a Zhongcheng Li da IES Red Team da ByteDance pela ajuda.

Web Extensions

Gostaríamos de agradecer a Carlos Jeurissen e Rob Wu (robwu.nl) pela ajuda.

WebKit

Queremos agradecer a Vamshi Paili pela ajuda.

WebKit Process Model

Queremos agradecer a Joseph Semaan pela ajuda.

Wi-Fi

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) e um pesquisador anônimo pela ajuda.

Wi-Fi Connectivity

Gostaríamos de agradecer a Alex Bauer Radocea, da Supernetworks, Inc, pela ajuda.

Widgets

Gostaríamos de agradecer a Marcel Voß, Mitul Pranjay e Serok Çelik pela ajuda.