Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 26.4

В этом документе описаны проблемы системы безопасности, устраняемые в visionOS 26.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 26.4

802.1X

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2026-28865: Héloïse Gollier и Mathy Vanhoef (KU Leuven)

Accounts

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-28877: Rosyna Keller из Totally Not Malicious Software

Audio

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28879: Justin Cohen из Google

Audio

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2026-28822: Jex Amro

CoreMedia

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-20690: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreUtils

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2026-28886: Etienne Charron (Renault) и Victoria Martini (Renault)

Crash Reporter

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2026-28878: Zhongcheng Li из отдела IES Red

curl

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. В curl возникала проблема, которая могла привести к непреднамеренной передаче конфиденциальной информации через не предусмотренное для этого соединение.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-14524

DeviceLink

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2026-28876: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

GeoServices

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28870: XiguaSec

iCloud

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28880: Zhongcheng Li из отдела IES Red

CVE-2026-28833: Zhongcheng Li из отдела IES Red

ImageIO

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-64505

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2026-28868: 이동하 (Lee Dong Ha из BoB 0xB6)

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена с помощью улучшенной аутентификации.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2026-28882: Ilias Morad (A2nkF) из Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2026-20688: wdszzml и автоматизированная система поиска уязвимостей Atuin

Sandbox Profiles

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Локальный злоумышленник может получить доступ к объектам связки ключей пользователя.

Описание. Проблема устранена путем улучшения проверки разрешений.

CVE-2026-28864: Alex Radocea

Siri

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема устранена путем улучшения аутентификации.

CVE-2026-28856: анонимный исследователь

UIFoundation

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Переполнение стека устранено путем улучшенной проверки ввода.

CVE-2026-28852: Caspian Tarafdar

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-20665: webb

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может обойти политику одного источника.

Описание. Проблема с разными источниками в API Navigation устранена путем улучшенной проверки ввода.

CVE-2026-20643: Thomas Espach

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносный веб-сайт может получить доступ к средствам обработки сообщений скриптов, предназначенным для других источников.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2026-28861: Hongze Wu и Shuaike Dong из отдела безопасности инфраструктуры компании Ant Group

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносный веб-сайт может обрабатывать веб-содержимое с ограниченным доступом за пределами песочницы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch, Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Дополнительные благодарности

AirPort

Выражаем благодарность за помощь Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari и Omid Rezaii.

Bluetooth

Выражаем благодарность за помощь Hamid Mahmoud.

Captive Network

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).

CipherML

Выражаем благодарность за помощь Nils Hanff (@nils1729@chaos.social) из Института им. Хассо Платтнера.

CloudAttestation

Выражаем благодарность за помощь Suresh Sundaram и Willard Jansen.

CoreUI

Выражаем благодарность за помощь Peter Malone.

Find My

Выражаем благодарность за помощь Salemdomain.

GPU Drivers

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

ICU

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

Kernel

Выражаем благодарность за помощь DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville из Fuzzinglabs, Patrick Ventuzelo из Fuzzinglabs, Robert Tran и Suresh Sundaram.

libarchive

Выражаем благодарность за помощь Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs, а также Arni Hardarson.

libc

Выражаем благодарность за помощь Vitaly Simonovich.

Libnotify

Выражаем благодарность за помощь Ilias Morad (@A2nkF_).

LLVM

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Messages

Выражаем благодарность за помощь JZ.

MobileInstallation

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

Music

Выражаем благодарность за помощь Mohammad Kaif (@_mkahmad | kaif0x01).

Notes

Выражаем благодарность за помощь Dawuge из Shuffle Team и Хунаньского университета.

ppp

Выражаем благодарность за помощь Dave G.

Quick Look

Выражаем благодарность за помощь Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.

Safari

Выражаем благодарность за помощь @RenwaX23, Farras Givari, Syarif Muhammad Sajjad и Yair.

Shortcuts

Выражаем благодарность за помощь Waleed Barakat (@WilDN00B) и Paul Montgomery (@nullevent).

Siri

Выражаем благодарность за помощь Anand Mallaya (технический консультант из Anand Mallaya and Co.), Harsh Kirdolia и независимому эксперту Hrishikesh Parmar.

Time Zone

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).

UIKit

Выражаем благодарность за помощь AEC, Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия), Bishal Kafle (@whoisbishal.k), Carlos Luna (Военно-морское министерство США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 и incredincomp.

Wallet

Выражаем благодарность за помощь пользователю Zhongcheng Li из отдела IES Red компании ByteDance.

Web Extensions

Выражаем благодарность за помощь Carlos Jeurissen и Rob Wu (robwu.nl).

WebKit

Выражаем благодарность за помощь Vamshi Paili.

WebKit Process Model

Выражаем благодарность за помощь Joseph Semaan.

Wi-Fi

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy) и анонимному исследователю.

Wi-Fi Connectivity

Выражаем благодарность за помощь Alex Radocea из Supernetworks, Inc.

Widgets

Выражаем благодарность за помощь Marcel Voß, Mitul Pranjay и Serok Çelik.