Informácie o obsahu zabezpečenia systému visionOS 26

Tento dokument opisuje obsah zabezpečenia systému visionOS 26.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 26

AppleMobileFileIntegrity

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43344: anonymný výskumník

Audio

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43346: Hossein Lotfi (@hosselot) z tímu Trend Micro Zero Day Initiative

Bluetooth

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z tímu Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z tímu Kandji

CoreAudio

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43372: 이동하 (Lee Dong Ha) z tímu SSA Lab

DiskArbitration

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43316: Csaba Fitzl (@theevilbit) z tímu Kandji a anonymný výskumník

IOHIDFamily

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

Kernel

Dostupné pre: Apple Vision Pro

Dosah: Soket UDP servera spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Spell Check

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

Systém

Dostupné pre: Apple Vision Pro

Dopad: Riešil sa problém s overovaním vstupov

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Webová stránka môže byť schopná získať prístup k informáciám zo senzorov bez súhlasu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43272: Big Bear

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43343: anonymný výskumník

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-43342: anonymný výskumník

Ďalšie poďakovanie

AuthKit

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

Calendar

Poďakovanie za pomoc si zaslúži Keisuke Chinone (Iroiro).

CFNetwork

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

CloudKit

Poďakovanie za pomoc si zaslúži Yinyi Wu (@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc.

Control Center

Poďakovanie za pomoc si zaslúži Damitha Gunawardena.

CoreMedia

Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev).

darwinOS

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Files

Poďakovanie za pomoc si zaslúži Tyler Montgomery.

Foundation

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) z tímu Enki WhiteHat.

IOGPUFamily

Poďakovanie za pomoc si zaslúži Wang Yu (Cyberserval).

Kernel

Poďakovanie za pomoc si zaslúžia Yepeng Pan a Prof. Dr. Christian Rossow.

libc

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

mDNSResponder

Poďakovanie za pomoc si zaslúži Barrett Lyon.

Networking

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

Notes

Poďakovanie za pomoc si zaslúži Atul R V.

Passwords

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

Safari

Poďakovanie za pomoc si zaslúži Ameen Basha M K.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

Spotlight

Poďakovanie za pomoc si zaslúži Christian Scalese.

Transparency

Poďakovanie za pomoc si zaslúži Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing a 要乐奈.

WebKit

Poďakovanie za pomoc si zaslúžia Bob Lord, Matthew Liang, Mike Cardwell z tímu grepular.com.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a anonymný výskumník.