Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 26

В этом документе описаны проблемы системы безопасности, устраняемые обновлением visionOS 26.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 26

AppleMobileFileIntegrity

Доступно для: Apple Vision Pro

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Доступно для: Apple Vision Pro

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43344: анонимный исследователь

Audio

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43346: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Bluetooth

Доступно для: Apple Vision Pro

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43354: Csaba Fitzl (@theevilbit) из Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) из Kandji

CoreAudio

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43349: @zlluny в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43372: 이동하 (Lee Dong Ha) из SSA Lab

DiskArbitration

Доступно для: Apple Vision Pro

Воздействие. Вредоносное приложение может получать привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43316: Csaba Fitzl (@theevilbit) из Kandji и анонимный исследователь

IOHIDFamily

Доступно для: Apple Vision Pro

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43302: Keisuke Hosoda

Kernel

Доступно для: Apple Vision Pro

Воздействие. Серверный сокет UDP, привязанный к локальному интерфейсу, может стать привязанным ко всем интерфейсам.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Доступно для: Apple Vision Pro

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2025-43355: Dawuge из Shuffle Team

Spell Check

Доступно для: Apple Vision Pro

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Доступно для: Apple Vision Pro

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-6965

System

Доступно для: Apple Vision Pro

Воздействие. Устранена проблема, связанная с проверкой ввода.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Доступно для: Apple Vision Pro

Воздействие. Веб-сайт может получать доступ к данным датчиков без согласия пользователя.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43356: Jaydev Ahire

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43272: Big Bear

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43343: анонимный исследователь

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с правильностью устранена путем улучшения проверок.

CVE-2025-43342: анонимный исследователь

Дополнительные благодарности

AuthKit

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

Calendar

Выражаем благодарность за помощь пользователю Keisuke Chinone (Iroiro).

CFNetwork

Выражаем благодарность за помощь пользователю Christian Kohlschütter.

CloudKit

Выражаем благодарность за помощь пользователю Yinyi Wu (@_3ndy1) из подразделения Dawn Security Lab компании JD.com, Inc.

Control Center

Выражаем благодарность за помощь пользователю Damitha Gunawardena.

CoreMedia

Выражаем благодарность за помощь пользователю Noah Gregory (wts.dev).

darwinOS

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Files

Выражаем благодарность за помощь пользователю Tyler Montgomery.

Foundation

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

ImageIO

Выражаем благодарность за помощь пользователям DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat.

IOGPUFamily

Выражаем благодарность за помощь Wang Yu из Cyberserval.

Kernel

Выражаем благодарность за помощь пользователям Yepeng Pan и проф., д-ру Christian Rossow.

libc

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libpthread

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libxml2

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

mDNSResponder

Выражаем благодарность за помощь пользователю Barrett Lyon.

Networking

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

Notes

Выражаем благодарность за помощь пользователю Atul R V.

Passwords

Выражаем благодарность за помощь пользователю Christian Kohlschütter.

Safari

Выражаем благодарность за помощь Ameen Basha M K.

Sandbox Profiles

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

Spotlight

Выражаем благодарность за помощь Christian Scalese.

Transparency

Выражаем благодарность за помощь пользователям Wojciech Regula из SecuRing (wojciechregula.blog) и 要乐奈.

WebKit

Выражаем благодарность за помощь пользователям Bob Lord, Matthew Liang и Mike Cardwell из grepular.com.

Wi-Fi

Выражаем благодарность за помощь пользователям Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) из Kandji, Noah Gregory (wts.dev), Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.