Acerca dos conteúdos de segurança do visionOS 26.4

Este documento descreve os conteúdos de segurança do visionOS 26.4.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

visionOS 26.4

802.1X

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar o tráfego de rede

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Accounts

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2026-28877: Rosyna Keller da Totally Not Malicious Software

Audio

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2026-28879: Justin Cohen da Google

Audio

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2026-28822: Jex Amro

CoreMedia

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de um fluxo de áudio num ficheiro multimédia criado com intuito malicioso poderá encerrar o processo

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um utilizador com uma posição privilegiada na rede poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada da entrada.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app pode conseguir enumerar as apps instaladas de um utilizador

Descrição: foi resolvido um problema de privacidade ao remover dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: existia um problema no curl que poderia resultar no envio acidental de informações confidenciais através de uma ligação incorreta

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-14524

DeviceLink

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2026-28876: Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs

GeoServices

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: uma fuga de informações foi resolvida com validação adicional.

CVE-2026-28870: XiguaSec

iCloud

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app pode conseguir enumerar as apps instaladas de um utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2026-28880: Zhongcheng Li da IES Red Team

CVE-2026-28833: Zhongcheng Li da IES Red Team

ImageIO

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-64505

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir divulgar a memória do kernel

Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.

CVE-2026-28868: 이동하 (Lee Dong Ha da BoB 0xB6)

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel

Descrição: este problema foi resolvido através de autenticação melhorada.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app pode conseguir enumerar as apps instaladas de um utilizador

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2026-28882: Ilias Morad (A2nkF) do Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.

CVE-2026-20688: wdszzml e Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá conseguir ler as impressões digitais de um utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um atacante local pode obter acesso a elementos do Porta-chaves do utilizador

Descrição: este problema foi resolvido através de melhorias na verificação das permissões.

CVE-2026-28864: Alex Radocea

Siri

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um atacante com acesso físico a um dispositivo bloqueado poderá conseguir ver informações confidenciais do utilizador

Descrição: o problema foi resolvido através da autenticação melhorada.

CVE-2026-28856: um investigador anónimo

UIFoundation

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma app poderá causar uma recusa de serviço

Descrição: a ultrapassagem do limite máximo foi resolvida com validação melhorada da entrada.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá impedir que a política de segurança de conteúdos seja aplicada

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2026-20665: webb

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdos Web criados com intuito malicioso poderá ignorar a Política da mesma origem.

Descrição: foi resolvido um problema de origens cruzadas na API de navegação através da validação melhorada da entrada.

CVE-2026-20643: Thomas Espach

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um site malicioso poderá conseguir aceder a manipuladores de mensagens de script destinados a outras origens

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2026-28861: Hongze Wu e Shuaike Dong da equipa de segurança de infraestruturas do Ant Group

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: um site malicioso poderá conseguir processar conteúdo Web restrito fora da sandbox

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky e Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Disponível para: Apple Vision Pro (todos os modelos)

Impacto: uma página web criada com intuito malicioso poderá conseguir criar uma representação única do utilizador

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Agradecimentos adicionais

AirPort

Gostaríamos de agradecer a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari e Omid Rezaii pela sua colaboração.

Bluetooth

Gostaríamos de agradecer a Hamid Mahmoud pela sua colaboração.

Captive Network

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) pela sua colaboração.

CipherML

Gostaríamos de agradecer a Nils Hanff (@nils1729@chaos.social) do Hasso Plattner Institute pela sua colaboração.

CloudAttestation

Gostaríamos de agradecer a Suresh Sundaram e Willard Jansen pela sua colaboração.

CoreUI

Gostaríamos de agradecer a Peter Malone pela sua colaboração.

Find My

Gostaríamos de agradecer a Salemdomain pela sua colaboração.

GPU Drivers

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela sua colaboração.

ICU

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela sua colaboração.

Kernel

Gostaríamos de agradecer a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville da Fuzzinglabs, Patrick Ventuzelo da Fuzzinglabs, Robert Tran e Suresh Sundaram pela sua colaboração.

libarchive

Gostaríamos de agradecer a Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs e Arni Hardarson pela sua colaboração.

libc

Gostaríamos de agradecer a Vitaly Simonovich pela sua colaboração.

Libnotify

Gostaríamos de agradecer a Ilias Morad (@A2nkF_) pela sua colaboração.

LLVM

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

Messages

Gostaríamos de agradecer a JZ pela sua colaboração.

MobileInstallation

Gostaríamos de agradecer a Gongyu Ma (@Mezone0) pela sua colaboração.

Música

Gostaríamos de agradecer a Mohammad Kaif (@_mkahmad | kaif0x01) pela sua colaboração.

Notes

Gostaríamos de agradecer a Dawuge da Shuffle Team e à Universidade de Hunan pela sua colaboração.

ppp

Gostaríamos de agradecer a Dave G. pela sua colaboração.

Quick Look

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog) e um investigador anónimo pela sua colaboração.

Safari

Gostaríamos de agradecer a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad e Yair pela sua colaboração.

Shortcuts

Gostaríamos de agradecer a Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) pela sua colaboração.

Siri

Gostaríamos de agradecer a Anand Mallaya, consultor de tecnologia da Anand Mallaya and Co., Harsh Kirdolia e Hrishikesh Parmar, trabalhador independente, pela sua colaboração.

Time Zone

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela sua colaboração.

UIKit

Gostaríamos de agradecer a AEC, Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento da Marinha dos EUA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp pela sua colaboração.

Wallet

Gostaríamos de agradecer a Zhongcheng Li da IES Red Team da ByteDance pela sua colaboração.

Web Extensions

Gostaríamos de agradecer a Carlos Jeurissen e Rob Wu (robwu.nl) pela sua colaboração.

WebKit

Gostaríamos de agradecer a Vamshi Paili pela sua colaboração.

WebKit Process Model

Gostaríamos de agradecer a Joseph Semaan pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) e um investigador anónimo pela sua colaboração.

Wi-Fi Connectivity

Gostaríamos de agradecer a Alex Radocea da Supernetworks, Inc pela sua colaboração.

Widgets

Gostaríamos de agradecer a Marcel Voß, Mitul Pranjay e Serok Çelik pela sua colaboração.