Obsah zabezpečenia v systéme visionOS 26.1
V tomto dokumente sa opisuje obsah zabezpečenia v systéme visionOS 26.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
visionOS 26.1
Dátum vydania: 3. novembra 2025
Apple Account
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Apka so škodlivým kódom môže byť schopná vo vložených zobrazeniach vytvoriť snímku obrazovky s citlivými informáciami
Popis: Dochádzalo k problému so súkromím, ktorý bol vyriešený vylepšením kontrol.
CVE-2025-43455: Ron Masas zo spoločnosti BreakPoint.SH, Pinak Oza
Apple Neural Engine
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2025-43447: Anonymný výskumník
CVE-2025-43462: anonymný výskumník
AppleMobileFileIntegrity
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Opis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2025-43407: JZ
Audio
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Útočník s fyzickým prístupom k odomknutému zariadeniu spárovanému s Macom môže byť schopný si v systémových protokoloch zobraziť citlivé informácie používateľa
Opis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Opis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2025-43436: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance
CoreText
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2025-43445: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro
FileProvider
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa
Popis: Dochádzalo k problému s ochranou súkromia, ktorý sa vyriešil presunutím citlivých údajov.
CVE-2025-43507: iisBuri
Installer
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2025-43444: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance
Kernel
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka v sandboxe môže byť schopná sledovať sieťové pripojenia používané v celom systéme
Opis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2025-43413: Dave G. a Alex Radocea zo spoločnosti supernetworks.org
Mail Drafts
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Vzdialený obsah sa môže načítať aj v prípade, že nastavenie Načítať vzdialené obrázky je vypnuté
Popis: Problém bol vyriešený pridaním ďalšej logiky.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme (Khatima)
Model I/O
Dostupné pre: Apple Vision Pro (všetky modely)
Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2025-43386: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2025-43385: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2025-43384: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2025-43383: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro
Notes
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa
Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.
CVE-2025-43439: Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance
Safari
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2025-43493: @RenwaX23
Safari
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2025-43503: @RenwaX23
Safari
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.
CVE-2025-43502: anonymný výskumník
Sandbox Profiles
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania používateľských nastavení.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Tento problém bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 299843
CVE-2025-43443: anonymný výskumník
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen zo spoločnosti Google
WebKit Bugzilla: 298851
CVE-2025-43425: anonymný výskumník
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Tento problém bol vyriešený vylepšením kontrol
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 297662
CVE-2025-43438: shandikri v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené zablokovaním vnárania vyhradenia poľa.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
Dostupné pre: Apple Vision Pro (všetky modely)
Dopad: Webová stránka môže stiahnuť dáta obrázkov z iného miesta
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži anonymný výskumník.
MobileInstallation
Poďakovanie za pomoc si zaslúži Bubble Zhang.
Safari
Poďakovanie za pomoc si zaslúži Barath Stalin K.
Safari Downloads
Poďakovanie za pomoc si zaslúži Saello Puza.
Shortcuts
Poďakovanie za pomoc si zaslúžia BanKai, Benjamin Hornbeck, Chi Yuan Chang z tímu ZUSO ART a taikosoup, ako aj Ryan May, Andrew James Gonzalez a anonymný výskumník.
WebKit
Poďakovanie za pomoc si zaslúžia Enis Maholli (enismaholli.com), Google Big Sleep.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.