Acerca dos conteúdos de segurança do visionOS 26

Este documento descreve os conteúdos de segurança do visionOS 26.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

visionOS 26

AppleMobileFileIntegrity

Disponível para: Apple Vision Pro

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Disponível para: Apple Vision Pro

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2025-43344: um investigador anónimo

Audio

Disponível para: Apple Vision Pro

Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou corromper a memória do processo

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2025-43346: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

Bluetooth

Disponível para: Apple Vision Pro

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.

CVE-2025-43354: Csaba Fitzl (@theevilbit) da Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) da Kandji

CoreAudio

Disponível para: Apple Vision Pro

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.

CVE-2025-43349: @zlluny em colaboração com o programa Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple Vision Pro

Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou corromper a memória do processo

Descrição: o problema foi resolvido através da validação melhorada da entrada.

CVE-2025-43372: 이동하 (Lee Dong Ha) do SSA Lab

DiskArbitration

Disponível para: Apple Vision Pro

Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43316: Csaba Fitzl (@theevilbit) da Kandji, um investigador anónimo

IOHIDFamily

Disponível para: Apple Vision Pro

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2025-43302: Keisuke Hosoda

Kernel

Disponível para: Apple Vision Pro

Impacto: uma tomada de servidor UDP ligada a uma interface local pode ficar ligada a todas as interfaces

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Disponível para: Apple Vision Pro

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2025-43355: Dawuge da Shuffle Team

Spell Check

Disponível para: Apple Vision Pro

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Disponível para: Apple Vision Pro

Impacto: o processamento de um ficheiro pode causar uma corrupção de memória

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-6965

System

Disponível para: Apple Vision Pro

Impacto: foi resolvido um problema de validação da entrada

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Disponível para: Apple Vision Pro

Impacto: um site pode aceder às informações dos sensores sem a autorização do utilizador

Descrição: o problema foi resolvido através do processamento melhorado de caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Disponível para: Apple Vision Pro

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no Safari

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-43272: Big Bear

WebKit

Disponível para: Apple Vision Pro

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-43343: um investigador anónimo

WebKit

Disponível para: Apple Vision Pro

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema de correção através de verificações melhoradas.

CVE-2025-43342: um investigador anónimo

Agradecimentos adicionais

AuthKit

Gostaríamos de agradecer a Rosyna Keller da Totally Not Malicious Software pela sua colaboração.

Calendar

Gostaríamos de agradecer a Keisuke Chinone (Iroiro) pela sua colaboração.

CFNetwork

Gostaríamos de agradecer a Christian Kohlschütter pela sua colaboração.

CloudKit

Gostaríamos de agradecer a Yinyi Wu (@_3ndy1) do Dawn Security Lab da JD.com, Inc pela sua colaboração.

Control Center

Gostaríamos de agradecer a Damitha Gunawardena pela sua colaboração.

CoreMedia

Gostaríamos de agradecer a Noah Gregory (wts.dev) pela sua colaboração.

darwinOS

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

Files

Gostaríamos de agradecer a Tyler Montgomery pela sua colaboração.

Foundation

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

ImageIO

Gostaríamos de agradecer a DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) da Enki WhiteHat pela sua colaboração.

IOGPUFamily

Gostaríamos de agradecer a Wang Yu da Cyberserval pela sua colaboração.

Kernel

Gostaríamos de agradecer a Yepeng Pan e Prof. Dr. Christian Rossow pela sua colaboração.

libc

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

libpthread

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

libxml2

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

mDNSResponder

Gostaríamos de agradecer a Barrett Lyon pela sua colaboração.

Networking

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

Notes

Gostaríamos de agradecer a Atul R V pela sua colaboração.

Passwords

Gostaríamos de agradecer a Christian Kohlschütter pela sua colaboração.

Safari

Gostaríamos de agradecer a Ameen Basha M K pela sua colaboração.

Sandbox Profiles

Gostaríamos de agradecer a Rosyna Keller da Totally Not Malicious Software pela sua colaboração.

Spotlight

Gostaríamos de agradecer a Christian Scalese pela sua colaboração.

Transparency

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog) e 要乐奈 pela sua colaboração.

WebKit

Gostaríamos de agradecer a Bob Lord, Matthew Liang e Mike Cardwell da grepular.com pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) da Kandji, Noah Gregory (wts.dev), Wojciech Regula da SecuRing (wojciechregula.blog) e um investigador anónimo pela sua colaboração.