Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 26.5

В этом документе описаны проблемы системы безопасности, устраняемые в visionOS 26.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 26.5

Accelerate

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может обходить определенные настройки конфиденциальности.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28988: Asaf Cohen

APFS

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28959: Dave G.

App Intents

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносное приложение может выходить за границы песочницы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) в рамках сотрудничества с Reverse Society

AppleJPEG

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2026-1837

AppleJPEG

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2026-28956: пользователь impost0r (ret2plt)

Audio

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-39869: David Ige из Beryllium Security

CoreAnimation

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2026-28936: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CoreSymbolication

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Анализ вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-28918: Niels Hofmans, анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

FileProvider

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-43659: Alex Radocea

ImageIO

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2026-28977: Suresh Sundaram

ImageIO

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки ввода.

CVE-2026-28897: пользователь popku1337, Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Robert Tran, Aswin Kumar Gokula Kannan

Kernel

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2026-28972: Billy Jheng Bing Jhong и Pan Zhenpeng (@Peterpan0927) из STAR Labs SG Pte. Ltd., Ryan Hileman при посредничестве Xint Code (xint.io)

LaunchServices

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного изображения может привести к повреждению памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28940: Michael DePlante (@izobashi) в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

Networking

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Злоумышленник может отслеживать пользователей через IP-адреса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2026-28846: Peter Malone

Shortcuts

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Эта проблема была устранена посредством добавления дополнительного запроса для подтверждения согласия пользователя.

CVE-2026-28993: Doron Assness

Spotlight

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2026-28974: Andy Koo (@andykoo) из Hexens

Status Bar

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может записывать изображение с экрана пользователя.

Описание. Проблема с доступом приложения к метаданным камеры устранена путем улучшения логики.

CVE-2026-28957: Adriatik Raci

Storage

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2026-28996: Alex Radocea

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2026-43660: Cantina

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2026-28907: Cantina

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Проблема устранена путем улучшения ограничений доступа.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong / kakaogames, Vitaly Simonovich, Adel Bouachraoui, пользователь greenbynox

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-43658: Do Young Park

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu и Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), анонимный исследователь в сотрудничестве с TrendAI в рамках программы Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: пользователь wac и Kookhwan Lee в сотрудничестве с TrendAI в рамках программы Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) из Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: исследовательская группа по вопросам методов взлома компании Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern и Guido Vranken), Maher Azzouzi, Ngan Nguyen из Calif.io

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2026-28958: Cantina

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Вредоносный элемент iframe может использовать параметры загрузки другого веб-сайта.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

CVE-2026-28971: Khiem Tran

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28942: Milad Nasr и Nicholas Carlini в сотрудничестве с Claude, Anthropic

CVE-2026-28947: пользователь dr3dd

WebKit

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2026-28917: Vitaly Simonovich

WebRTC

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28944: Kenneth Hsu из Palo Alto Networks, Jérôme DJOUDER, пользователь dr3dd

zlib

Целевые продукты: Apple Vision Pro (все модели)

Воздействие. Посещение вредоносного веб-сайта может приводить к утечке конфиденциальных данных.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28920: Brendon Tiszka из Google Project Zero

Дополнительные благодарности

App Intents

Выражаем благодарность за помощь пользователю Mikael Kinnman.

Apple Account

Выражаем благодарность за помощь пользователям Iván Savransky, YingQi Shi (@Mas0nShi) из лаборатории WeBin компании DBAppSecurity.

AuthKit

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

CoreUI

Выражаем благодарность за помощь пользователю Mustafa Calap.

ICU

Выражаем благодарность за помощь анонимному исследователю.

Kernel

Выражаем благодарность за помощь пользователю Ryan Hileman при посредничестве Xint Code (xint.io), анонимному исследователю.

libnetcore

Выражаем благодарность за помощь пользователям Chris Staite и David Hardy из Menlo Security Inc.

Libnotify

Выражаем благодарность за помощь Ilias Morad (@A2nkF_).

Location

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).

Mail

Выражаем благодарность за помощь пользователю Himanshu Bharti (@Xpl0itme) из Khatima.

mDNSResponder

Выражаем благодарность за помощь пользователю Jason Grove.

Notes

Выражаем благодарность за помощь пользователю Asilbek Salimov.

Siri

Выражаем благодарность за помощь пользователю Yoav Magid.

WebKit

Выражаем благодарность за помощь пользователям Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Выражаем благодарность за помощь пользователю Hyeonji Son (@jir4vv1t) из Demon Team.