Despre conținutul de securitate din visionOS 26.3

Acest document descrie conținutul de securitate din visionOS 26.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

visionOS 26.3

AppleMobileFileIntegrity

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2026-20625: Mickey Jin (@patch1t), Ryan Dowd (@_rdowd)

Bluetooth

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un atacator într-o poziție privilegiată în rețea poate efectua un atac de refuzare serviciului folosind pachete Bluetooth create cu rea intenție

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2026-20650: jioundai

CFNetwork

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un utilizator local poate scrie fișiere arbitrare

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2026-20660: Amy (amys.website)

CoreAudio

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20611: anonim, în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) de la Iru

CoreServices

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2026-20615: Csaba Fitzl (@theevilbit) de la Iru și Gergely Kalman (@gergely_kalman)

CoreServices

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a existat o problemă la tratarea variabilelor de mediu. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2026-20627: un cercetător anonim

dyld

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un atacator care are posibilitate de scriere în memorie poate executa cod arbitrar. Apple este la curent cu un raport conform căruia este posibil ca această problemă să fi fost exploatată într-un atac extrem de sofisticat împotriva anumitor persoane vizate pe versiuni iOS anterioare versiunii iOS 26. De asemenea, CVE-2025-14174 și CVE-2025-43529 au fost emise ca răspuns la acest raport.

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20700: Google Threat Analysis Group

ImageIO

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-20675: George Karchemsky (@gkarchemsky), în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20634: George Karchemsky (@gkarchemsky), în colaborare cu Trend Micro Zero Day Initiative

Kernel

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2026-20626: Keisuke Hosoda

Kernel

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-59375

Messages

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o scurtătură poate ocoli restricțiile sandboxului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2026-20677: Ron Masas de la BreakPoint.SH

Model I/O

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea unui fișier USD creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20616: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Sandbox

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-20628: Noah Gregory (wts.dev)

Shortcuts

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2026-20653: Enis Maholli (enismaholli.com)

StoreKit

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20608: HanQing de la TSDubhe și Nan Wang (@eternalsakura13)

WebKit

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: un site web poate urmări utilizatori prin intermediul extensiilor web Safari

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20676: Tom Van Goethem

WebKit

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20644: HanQing de la TSDubhe și Nan Wang (@eternalsakura13)

CVE-2026-20636: EntryHi

CVE-2026-20635: EntryHi

Wi-Fi

Disponibil pentru: Apple Vision Pro (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20621: Wang Yu de la Cyberserval

Alte mențiuni

Bluetooth

Dorim să îi mulțumim lui Tommaso Sacchetti pentru asistența acordată.

Kernel

Dorim să le mulțumim lui Joseph Ravichandran (@0xjprx) de la MIT CSAIL și lui Xinru Chi de la Pangu Lab pentru asistența acordată.

libpthread

Dorim să îi mulțumim lui Fabiano Anemone pentru asistența acordată.

NetworkExtension

Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.

Shortcuts

Dorim să îi mulțumim lui Robert Reichel pentru asistența acordată.

Transparency

Dorim să-i mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) pentru asistență.

Wallet

Dorim să le mulțumim lui Lorenzo Santina (@BigNerd95) și lui Marco Bartoli (@wsxarcher) pentru asistența acordată.

WebKit

Dorim să le mulțumim lui David Wood, EntryHi, Luigino Camastra de la Aisle Research, lui Stanislav Fort de la Aisle Research, lui Vsevolod Kokorin (Slonser) de la Solidlab și lui Jorian Woltjer pentru asistența acordată.