Obsah zabezpečenia v systéme visionOS 26.4

V tomto dokumente sa opisuje obsah zabezpečenia v systéme visionOS 26.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 26.4

802.1X

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s autentifikáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

Accounts

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28877: Rosyna Keller z tímu Totally Not Malicious Software

Audio

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28879: Justin Cohen zo spoločnosti Google

Audio

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20690: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti TrendAI

CoreUtils

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-28878: Zhongcheng Li z tímu IES Red Team

curl

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: V komponente curl sa vyskytoval problém, ktorý mohol spôsobiť neúmyselné odoslanie citlivých informácií prostredníctvom nesprávneho pripojenia

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-14524

DeviceLink

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2026-28876: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

GeoServices

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28870: XiguaSec

iCloud

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28880: Zhongcheng Li z tímu IES Red Team

CVE-2026-28833: Zhongcheng Li z tímu IES Red Team

ImageIO

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-64505

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha z tímu BoB 0xB6)

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) z tímu Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2026-20688: wdszzml a Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Miestny útočník môže získať prístup k položkám Kľúčenky používateľa

Popis: Tento problém bol vyriešený pomocou vylepšenej kontroly oprávnení.

CVE-2026-28864: Alex Radocea

Security

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Lokálny útočník môže byť schopný upraviť stav Kľúčenky

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28860: Alex Radocea

Siri

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28856: anonymný výskumník

UIFoundation

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28852: Caspian Tarafdar

Vision

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20657: Andrew Becker

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-20665: webb

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)

Popis: V rozhraní API Navigation dochádzalo k problému so zámenou pôvodu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-20643: Thomas Espach

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obslužným programom správ skriptov určeným pre iné oblasti pôvodu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28861: Hongze Wu a Shuaike Dong z tímu Ant Group Infrastructure Security Team a webb

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Webová stránka so škodlivým kódom môže byť schopná spracúvať obmedzený webový obsah z oblasti mimo sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28859: greenbynox, Arni Hardarson a anonymný výskumník

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20664: Yeonghyeon Choi, Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301, Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea, Nathaniel Oh (@calysteon)

WebKit Sandboxing

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ďalšie poďakovanie

AirPort

Poďakovanie za pomoc si zaslúžia Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari a Omid Rezaii.

Bluetooth

Poďakovanie za pomoc si zaslúži Hamid Mahmoud.

Captive Network

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

CipherML

Poďakovanie za pomoc si zaslúži Nils Hanff (@nils1729@chaos.social) z inštitútu Hasso Plattner Institute.

CloudAttestation

Poďakovanie za pomoc si zaslúžia Suresh Sundaram a Willard Jansen.

CoreUI

Poďakovanie za pomoc si zaslúži Peter Malone.

Find My

Poďakovanie za pomoc si zaslúži Salemdomain.

GPU Drivers

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

ICU

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

Kernel

Poďakovanie za pomoc si zaslúžia Adam Doupé z tímu ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville z tímu Fuzzinglabs, Patrick Ventuzelo z tímu Fuzzinglabs, Robert Tran, Suresh Sundaram a Tristan Madani (@TristanInSec) z tímu Talence Security.

libarchive

Poďakovanie za pomoc si zaslúžia Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs a Arni Hardarson.

libc

Poďakovanie za pomoc si zaslúži Vitaly Simonovich (vitalysim.com).

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

LLVM

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Messages

Poďakovanie za pomoc si zaslúži JZ.

MobileInstallation

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

Music

Poďakovanie za pomoc si zaslúži Mohammad Kaif (@_mkahmad | kaif0x01).

Notes

Poďakovanie za pomoc si zaslúži Dawuge z tímu Shuffle Team a Hunanskej univerzity.

ppp

Poďakovanie za pomoc si zaslúži Dave G.

Quick Look

Poďakovanie za pomoc si zaslúžia Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog) a anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúžia @RenwaX23, Farras Givari, Syarif Muhammad Sajjad a Yair.

Shortcuts

Poďakovanie za pomoc si zaslúžia Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).

Siri

Poďakovanie za pomoc si zaslúžia Anand Mallaya, technický konzultant zo spoločnosti Anand Mallaya and Co., Harsh Kirdolia a Hrishikesh Parmar na voľnej nohe.

Time Zone

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India.

UIKit

Poďakovanie za pomoc si zaslúžia AEC, Abhay Kailasia (@abhay_kailasia) zo Safranu v Bombaji v Indii, Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (Ministerstvo námorníctva USA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 a incredincomp.

Wallet

Poďakovanie za pomoc si zaslúži Zhongcheng Li z tímu IES Red Team zo spoločnosti ByteDance.

Web Extensions

Poďakovanie za pomoc si zaslúžia Carlos Jeurissen a Rob Wu (robwu.nl).

WebKit

Poďakovanie za pomoc si zaslúži Vamshi Paili.

WebKit Process Model

Poďakovanie za pomoc si zaslúži Joseph Semaan.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Kun Peeks (@SwayZGl1tZyyy) a anonymný výskumník.

Wi-Fi Connectivity

Poďakovanie za pomoc si zaslúži Alex Radocea zo spoločnosti Supernetworks, Inc.

Widgets

Poďakovanie za pomoc si zaslúžia Marcel Voß, Mitul Pranjay a Serok Çelik.