Despre conținutul de securitate din visionOS 26.1
Acest document descrie conținutul de securitate din visionOS 26.1.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
visionOS 26.1
Data lansării: 3 noiembrie 2025
Apple Account
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație rău intenționată poate face o captură de ecran cu informațiile sensibile în vizualizările integrate
Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2025-43455: Ron Masas de la BreakPoint.SH, Pinak Oza
Apple Neural Engine
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-43447: un cercetător anonim
CVE-2025-43462: un cercetător anonim
AppleMobileFileIntegrity
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate evada din sandbox
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2025-43407: JZ
Audio
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator care are acces fizic la un dispozitiv deblocat asociat cu un computer Mac poate vizualiza informații sensibile ale utilizatorilor în jurnalele de sistem
Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate evada din sandbox
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2025-43436: Zhongcheng Li din cadrul IES Red Team de la ByteDance
CoreText
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2025-43445: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative
FileProvider
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile.
CVE-2025-43507: iisBuri
Installer
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2025-43444: Zhongcheng Li din cadrul IES Red Team de la ByteDance
Kernel
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație din sandbox poate observa conexiuni de rețea la nivelul întregului sistem
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2025-43413: Dave G. și Alex Radocea de la supernetworks.org
Mail Drafts
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: conținut extern poate fi încărcat chiar și atunci când configurarea „Încărcare imagini externe” este oprită
Descriere: problema a fost rezolvată prin adăugarea unei logici suplimentare.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme din Khatima
Model I/O
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2025-43386: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
CVE-2025-43385: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
CVE-2025-43384: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
CVE-2025-43383: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
Notes
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de confidențialitate a fost remediată prin eliminarea codului vulnerabil.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.
CVE-2025-43439: Zhongcheng Li din cadrul IES Red Team de la ByteDance
Safari
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-43493: @RenwaX23
Safari
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2025-43503: @RenwaX23
Safari
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de confidențialitate a fost remediată prin eliminarea datelor sensibile.
CVE-2025-43502: un cercetător anonim
Sandbox Profiles
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a preferințelor utilizatorului.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 299843
CVE-2025-43443: un cercetător anonim
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen de la Google
WebKit Bugzilla: 298851
CVE-2025-43425: un cercetător anonim
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri în colaborare cu Trend Micro Zero Day Initiative
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: mai multe probleme au fost rezolvate prin dezactivarea întârzierii alocării de array-uri.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un site web poate exfiltra date de imagini între origini diferite
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Alte mențiuni
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
MobileInstallation
Dorim să îi mulțumim lui Bubble Zhang pentru asistența acordată.
Safari
Dorim să îi mulțumim lui Barath Stalin K pentru asistența acordată.
Safari Downloads
Dorim să îi mulțumim lui Saello Puza pentru asistența acordată.
Shortcuts
Dorim să mulțumim lui BanKai, Benjamin Hornbeck, Chi Yuan Chang de la ZUSO ART și taikosoup, lui Ryan May, Andrew James Gonzalez, unui cercetător anonim pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Enis Maholli (enismaholli.com), Google Big Sleep pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.