Despre conținutul de securitate din visionOS 26.5
Acest document descrie conținutul de securitate din visionOS 26.5.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
visionOS 26.5
Lansare: 11 mai 2026
Accelerate
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-28991: Seiji Sakurai (@HeapSmasher)
Accounts
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2026-28988: Asaf Cohen
APFS
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2026-28959: Dave G.
App Intents
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație rău-intenționată poate evada din sandbox
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pentru Reverse Society
AppleJPEG
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.
CVE-2026-1837
AppleJPEG
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2026-28956: impost0r (ret2plt)
Audio
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unui flux audio într-un fișier media creat cu rea intenție poate duce la încetarea procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-39869: David Ige de la Beryllium Security
CoreAnimation
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella
CoreServices
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2026-28936: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs
CoreSymbolication
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: Analizarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-28918: Niels Hofmans, anonim în colaborare cu TrendAI Zero Day Initiative
FileProvider
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2026-43659: Alex Radocea
ImageIO
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2026-28977: Suresh Sundaram
ImageIO
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-28990: Jiri Ha, Arni Hardarson
IOHIDFamily
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator ar putea cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
CVE-2026-28992: Johnny Franks (@zeroxjf)
IOKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar
Kernel
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)
Kernel
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memorie tampon alocate prin îmbunătățirea validării intrării.
CVE-2026-28897: popku1337, Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan
Kernel
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2026-28972: Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)
LaunchServices
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2026-28983: Ruslan Dautov
mDNSResponder
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2026-43668: Anton Pakhunov, Ricardo Prado
mDNSResponder
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2026-43666: Ian van der Wurff (ian.nl)
Model I/O
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2026-28940: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative
Networking
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator poate urmări utilizatori prin intermediul adreselor lor IP
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2026-28906: Ilya Sc. Jowell A.
SceneKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a aplicației
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2026-28846: Peter Malone
Shortcuts
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2026-28993: Doron Assness
Spotlight
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2026-28974: Andy Koo (@andykoo) de la Hexens
Status Bar
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate captura ecranul unui utilizator
Descriere: a fost rezolvată o problemă legată de accesul aplicației la metadatele camerei printr-o logică îmbunătățită.
CVE-2026-28957: Adriatik Raci
Storage
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2026-28996: Alex Radocea
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
WebKit Bugzilla: 308906
CVE-2026-43660: Cantina
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.
WebKit Bugzilla: 308675
CVE-2026-28907: Cantina
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.
WebKit Bugzilla: 309698
CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 307669
CVE-2026-43658: Do Young Park
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 308545
CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu și Zhe Wang
WebKit Bugzilla: 308707
CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonim în colaborare cu TrendAI Zero Day Initiative, Daniel Rhea
WebKit Bugzilla: 309601
CVE-2026-28904: Luka Rački
WebKit Bugzilla: 310880
CVE-2026-28955: wac și Kookhwan Lee în colaborare cu TrendAI Zero Day Initiative
WebKit Bugzilla: 310303
CVE-2026-28903: Mateusz Krzywicki (iVerify.io)
WebKit Bugzilla: 309628
CVE-2026-28953: Maher Azzouzi
WebKit Bugzilla: 309861
CVE-2026-28902: Tristan Madani (@TristanInSec) de la Talence Security, Nathaniel Oh (@calysteon)
WebKit Bugzilla: 310207
CVE-2026-28901: Echipa de cercetare a securității ofensive Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern și Guido Vranken), Maher Azzouzi, Ngan Nguyen de la Calif.io
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 313939
CVE-2026-28883: kwak kiyong / kakaogames
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
WebKit Bugzilla: 311228
CVE-2026-28958: Cantina
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: un iframe rău-intenționat ar putea utiliza setările de descărcare ale altui site web
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
WebKit Bugzilla: 311288
CVE-2026-28971: Khiem Tran
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 312180
CVE-2026-28942: Milad Nasr și Nicholas Carlini cu Claude, Anthropic
WebKit Bugzilla: 310234
CVE-2026-28947: dr3dd
WebKit
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.
WebKit Bugzilla: 310527
CVE-2026-28917: Vitaly Simonovich
WebRTC
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 311131
CVE-2026-28944: Kenneth Hsu de la Palo Alto Networks, Jérôme DJOUDER, dr3dd
zlib
Disponibil pentru: Apple Vision Pro (toate modelele)
Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile
Descriere: o scurgere de informații a fost remediată prin validare suplimentare.
CVE-2026-28920: Brendon Tiszka de la Google Project Zero
Alte mențiuni
App Intents
Dorim să îi mulțumim lui Mikael Kinnman pentru asistența acordată.
Apple Account
Dorim să îi mulțumim lui Iván Savransky, lui YingQi Shi (@Mas0nShi) de la WeBin lab DBAppSecurity pentru asistența acordată.
AuthKit
Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.
CoreUI
Dorim să îi mulțumim lui Mustafa Calap pentru asistența acordată.
ICU
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Kernel
Dorim să îi mulțumim lui Ryan Hileman via Xint Code (xint.io), unui cercetător anonim pentru asistența acordată.
libnetcore
Dorim să îi mulțumim lui Chris Staite și lui David Hardy de la Menlo Security Inc pentru asistența acordată.
Libnotify
Dorim să îi mulțumim lui Ilias Morad (@A2nkF_) pentru asistența acordată.
Location
Dorim să îi mulțumim lui Kun Peeks (@SwayZGl1tZyyy) pentru asistența acordată.
Dorim să îi mulțumim lui Himanshu Bharti (@Xpl0itme) de la Khatima pentru asistența acordată.
mDNSResponder
Dorim să îi mulțumim lui Jason Grove pentru asistența acordată.
Notes
Dorim să îi mulțumim lui Asilbek Salimov pentru asistența acordată.
Siri
Dorim să îi mulțumim lui Yoav Magid pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Muhammad Zaid Ghifari (Mr.ZheeV), lui Kalimantan Utara, lui Qadhafy Muhammad Tera, lui Vitaly Simonovich pentru asistența acordată.
WebRTC
Dorim să îi mulțumim lui Hyeonji Son (@jir4vv1t) de la Demon Team pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.