Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 26.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлением visionOS 26.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 26.2

App Store

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получать доступ к конфиденциальным токенам платежей.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46288: floeki, Zhongcheng Li из отдела IES Red компании ByteDance

AppleJPEG

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может подделывать идентификатор абонента FaceTime.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2025-46287: анонимный исследователь, Riley Walz

curl

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обнаружен ряд проблем в curl.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. В полях паролей могут случайно отображаться пароли во время удаленного управления устройствами через FaceTime.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43542: Yiğit Ocak

Foundation

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.

CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta

Icons

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может выявлять другие приложения, установленные пользователем.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.

CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group

Messages

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема утечки информации устранена путем улучшения контроля конфиденциальности.

CVE-2025-46276: Rosyna Keller из Totally Not Malicious Software

Multi-Touch

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43533: подразделение Threat Analysis Group компании Google

Photos

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Фотографии в альбоме «Скрытые» можно просмотреть без аутентификации.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2025-43428: анонимный исследователь, Michael Schmutzer из Ингольштадтского технического университета

Screen Time

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43538: Iván Savransky

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

CVE-2025-43541: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2025-43501: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2025-43531: Phil Pizlo из Epic Games

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43529: подразделение Threat Analysis Group компании Google

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google

WebKit Web Inspector

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43511: 이동하 (Lee Dong Ha из BoB 14th)

Дополнительные благодарности

AppleMobileFileIntegrity

Выражаем благодарность за помощь анонимному исследователю.

Core Services

Выражаем благодарность за помощь Golden Helm Securities.

Safari

Выражаем благодарность за помощь Mochammad Nosa Shandy Prastyo.

WebKit

Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).