Om säkerhetsinnehållet i visionOS 26.1

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 26.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

visionOS 26.1

Apple Account

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig app kan ta skärmdumpar på känslig information i inbäddade vyer

Beskrivning: Ett integritetsfel åtgärdades med förbättrade kontroller.

CVE-2025-43455: Ron Masas på BreakPoint.SH, Pinak Oza

Apple Neural Engine

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43447: En anonym forskare

CVE-2025-43462: En anonym forskare

AppleMobileFileIntegrity

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan få åtkomst till skyddade användardata

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2025-43407: JZ

Audio

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare med fysisk åtkomst till en olåst enhet som är parkopplad med en Mac kan visa känslig användarinformation i systemloggar

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-43423: Duy Trần (@khanhduytran0)

CloudKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43436: Zhongcheng Li från IES Red Team på ByteDance

CoreText

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-43445: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

FileProvider

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2025-43498: pattern-f (@pattern_F_)

Find My

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett integritetsproblem åtgärdades genom flytt av känsliga data.

CVE-2025-43507: iisBuri

Installer

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2025-43444: Zhongcheng Li från IES Red Team på ByteDance

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Available for: Apple Vision Pro (alla modeller)

Effekt: En app i sandlådeläge kanske kan observera nätverksanslutningar i hela systemet

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2025-43413: Dave G. och Alex Radocea på supernetworks.org

Mail Drafts

Available for: Apple Vision Pro (alla modeller)

Effekt: Fjärrinnehåll kanske kan läsas in trots att inställningen Visa bilder från server är avstängd

Beskrivning: Problemet åtgärdades genom utökad logik.

CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme från Khatima

Model I/O

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43386: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Notes

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av den sårbara koden.

CVE-2025-43389: Kirin (@Pwnrin)

On-device Intelligence

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2025-43439: Zhongcheng Li från IES Red Team på ByteDance

Safari

Available for: Apple Vision Pro (alla modeller)

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-43493: @RenwaX23

Safari

Available for: Apple Vision Pro (alla modeller)

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2025-43503: @RenwaX23

Safari

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kringgå vissa inställningar för Integritet

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2025-43502: En anonym forskare

Sandbox Profiles

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad hantering av användarinställningar.

CVE-2025-43500: Stanislav Jelezoglo

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-43480: Aleksejs Popovs

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2025-43443: En anonym forskare

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen på Google

CVE-2025-43425: En anonym forskare

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades med förbättrade kontroller

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43438: shandikri i samarbete med Trend Micro Zero Day Initiative

CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CVE-2025-43434: Google Big Sleep

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-43432: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2025-43429: Google Big Sleep

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Flera problem åtgärdades genom att inaktivera sänkning av array-allokering.

CVE-2025-43421: Nan Wang (@eternalsakura13)

WebKit Canvas

Available for: Apple Vision Pro (alla modeller)

Effekt: En webbplats kan komma åt bilddata från flera källor

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2025-43392: Tom Van Goethem

Ytterligare tack

Mail

Vi vill tacka en anonym forskare för hjälpen.

MobileInstallation

Vi vill tacka Bubble Zhang för hjälpen.

Safari

Vi vill tacka Barath Stalin K för hjälpen.

Safari Downloads

Vi vill tacka Saello Puza för hjälpen.

Shortcuts

Vi vill tacka BanKai, Benjamin Hornbeck, Chi Yuan Chang på ZUSO ART och taikosoup, Ryan May, Andrew James Gonzalez samt en anonym forskare för hjälpen.

WebKit

Vi vill tacka Enis Maholli (enismaholli.com) och Google Big Sleep för hjälpen.