Obsah zabezpečenia v systéme visionOS 26.5

V tomto dokumente sa opisuje obsah zabezpečenia v systéme visionOS 26.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 26.5

Accelerate

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

Accounts

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28988: Asaf Cohen

APFS

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28959: Dave G.

App Intents

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

AppleJPEG

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2026-1837

AppleJPEG

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže ukončiť proces

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-39869: David Ige z tímu Beryllium Security

CoreAnimation

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28964: Alan Wang, Christopher W. Fletcher, Hovav Shacham, David Kohlbrenner, Riccardo Paccagnella

CoreServices

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28936: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CoreSymbolication

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Analýza súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28918: Niels Hofmans, anonymný výskumník v spolupráci s tímom projektu Zero Day Initiative spoločnosti TrendAI

FileProvider

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-43659: Alex Radocea

ImageIO

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28972: Billy Jheng Bing Jhong a Pan Zhenpeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd., Ryan Hileman prostredníctvom Xint Code (xint.io)

LaunchServices

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie obrázka so škodlivým kódom môže poškodiť operačnú pamäť

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28940: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti TrendAI

Networking

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Útočník môže byť schopný sledovať používateľov prostredníctvom ich IP adresy

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-28906: Ilya Sc. Jowell A.

SceneKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-28846: Peter Malone

Shortcuts

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2026-28993: Doron Assness

Spotlight

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2026-28974: Andy Koo (@andykoo) z tímu Hexens

Status Bar

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Apka môže byť schopná zaznamenávať obrazovku používateľa

Popis: Problém s prístupom apky k metadátam kamery bol vyriešený vylepšením logiky.

CVE-2026-28957: Adriatik Raci

Storage

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28996: Alex Radocea

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2026-43660: Cantina

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28907: Cantina

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2026-28962: Luke Francis, Vaagn Vardanian, kwak kiyong/kakaogames, Vitaly Simonovich, Adel Bouachraoui, greenbynox

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-43658: Do Young Park

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu a Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonymný výskumník v spolupráci s tímom projektu Zero Day Initiative spoločnosti TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac a Kookhwan Lee v spolupráci s tímom projektu Zero Day Initiative spoločnosti TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) z tímu Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: tím Offensive Security Research spoločnosti Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern a Guido Vranken), Maher Azzouzi, Ngan Nguyen z tímu Calif.io

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2026-28958: Cantina

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Prvok iframe so škodlivým kódom môže použiť nastavenia sťahovania inej webovej stránky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

CVE-2026-28971: Khiem Tran

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28942: Milad Nasr a Nicholas Carlini v spolupráci s tímom Claude, Anthropic

CVE-2026-28947: dr3dd

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Opis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2026-28917: Vitaly Simonovich

WebRTC

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28944: Kenneth Hsu z tímu Palo Alto Networks, Jérôme DJOUDER, dr3dd

zlib

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28920: Brendon Tiszka z tímu Google Project Zero

Ďalšie poďakovanie

App Intents

Poďakovanie za pomoc si zaslúži Mikael Kinnman.

Apple Account

Poďakovanie za pomoc si zaslúžia Iván Savransky, YingQi Shi (@Mas0nShi) z tímu DBAppSecurity's WeBin lab.

AuthKit

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

CoreUI

Poďakovanie za pomoc si zaslúži Mustafa Calap.

ICU

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Kernel

Poďakovanie za pomoc si zaslúžia Ryan Hileman prostredníctvom Xint Code (xint.io), anonymný výskumník.

libnetcore

Poďakovanie za pomoc si zaslúžia Chris Staite a David Hardy z tímu Menlo Security Inc.

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

Location

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

Mail

Poďakovanie za pomoc si zaslúži Himanshu Bharti (@Xpl0itme) z tímu Khatima.

mDNSResponder

Poďakovanie za pomoc si zaslúži Jason Grove.

Notes

Poďakovanie za pomoc si zaslúži Asilbek Salimov.

Siri

Poďakovanie za pomoc si zaslúži Yoav Magid.

WebKit

Poďakovanie za pomoc si zaslúžia Muhammad Zaid Ghifari (Mr.ZheeV), Kalimantan Utara, Qadhafy Muhammad Tera, Vitaly Simonovich.

WebRTC

Poďakovanie za pomoc si zaslúži Hyeonji Son (@jir4vv1t) z projektu Demon Team.