Om säkerhetsinnehållet i visionOS 26.4

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 26.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

visionOS 26.4

802.1X

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28865: Héloïse Gollier och Mathy Vanhoef (KU Leuven)

Accounts

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28877: Rosyna Keller på Totally Not Malicious Software

Audio

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28879: Justin Cohen på Google

Audio

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2026-28822: Jex Amro

CoreMedia

Available for: Apple Vision Pro (alla modeller)

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20690: Hossein Lotfi (@hosselot) på TrendAI Zero Day Initiative

CoreUtils

Available for: Apple Vision Pro (alla modeller)

Effekt: En användare i en behörig nätverksposition kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28886: Etienne Charron (Renault) och Victoria Martini (Renault)

Crash Reporter

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-28878: Zhongcheng Li från IES Red Team

curl

Available for: Apple Vision Pro (alla modeller)

Effekt: På grund av ett problem i curl kunde känslig information oavsiktligt skickas via en felaktig anslutning

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-28876: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

GeoServices

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

iCloud

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28880: Zhongcheng Li från IES Red Team

CVE-2026-28833: Zhongcheng Li från IES Red Team

ImageIO

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-64505

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28868: Gor Aleksanyan, Dhiyanesh Selvaraj (@redroot97), 이동하 (Lee Dong Ha of BoB 0xB6)

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet åtgärdades med förbättrad autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) på Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Printing

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2026-20688: wdszzml och Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Available for: Apple Vision Pro (alla modeller)

Effekt: En lokal angripare kanske kan få tillgång till användarens nyckelringsobjekt

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2026-28864: Alex Radocea

Security

Available for: Apple Vision Pro (alla modeller)

Effekt : En lokal angripare kanske kan ändra nyckelringens tillstånd

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2026-28860: Alex Radocea

Siri

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2026-28856: en anonym forskare

UIFoundation

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28852: Caspian Tarafdar

Vision

Available for: Apple Vision Pro (alla modeller)

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2026-20657: Andrew Becker

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20665: webb

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung

Beskrivning: Ett problem med data från flera källor i Navigation-API åtgärdades genom förbättrad indatavalidering.

CVE-2026-20643: Thomas Espach

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig webbplats kanske kan komma åt hanterare för skriptmeddelanden som är avsedda för andra ursprung

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28861: Hongze Wu och Shuaike Dong från Ant Group Infrastructure Security Team, och webben

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En webbplats med skadligt innehåll kanske kan bearbeta begränsat webbinnehåll utanför sandlådan

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28859: greenbynox, Arni Hardarson samt en anonym forskare

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20664: Yeonghyeon Choi , Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch3301 och Yevhen Pervushyn

CVE-2026-28857: Minse Kim, Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea och Nathaniel Oh (@calysteon)

WebKit Sandboxing

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligare tack

AirPort

Vi vill tacka Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii för hjälpen.

Bluetooth

Vi vill tacka Hamid Mahmoud för hjälpen.

Captive Network

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

CipherML

Vi vill tacka Nils Hanff (@nils1729@chaos.social) på Hasso Plattner Institute för hjälpen.

CloudAttestation

Vi vill tacka Suresh Sundaram, Willard Jansen för hjälpen.

CoreUI

Vi vill tacka Peter Malone för hjälpen.

Find My

Vi vill tacka Salemdomain för hjälpen.

GPU Drivers

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

ICU

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

Kernel

Vi vill tacka Adam Doupé från ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville från Fuzzinglabs, Patrick Ventuzelo från Fuzzinglabs, Robert Tran, Suresh Sundaram och Tristan Madani (@TristanInSec) från Talence Security för deras hjälp.

libarchive

Vi vill tacka Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs, Arni Hardarson för hjälpen.

libc

Vi vill tacka Vitaly Simonovich (vitalysim.com) för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

LLVM

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

Messages

Vi vill tacka JZ för hjälpen.

MobileInstallation

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Music

Vi vill tacka Mohammad Kaif (@_mkahmad | kaif0x01) för hjälpen.

Notes

Vi vill tacka Dawuge på Shuffle Team och Hunan University för hjälpen.

ppp

Vi vill tacka Dave G. för hjälpen.

Quick Look

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog), en anonym forskare för hjälpen.

Safari

Vi vill tacka @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair för hjälpen.

Shortcuts

Vi vill tacka Waleed Barakat (@WilDN00B) och Paul Montgomery (@nullevent) för hjälpen.

Siri

Vi vill tacka Anand Mallaya, teknikkonsult, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, egenföretagare för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.

UIKit

Vi vill tacka AEC, Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India, Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 och incredincomp för deras hjälp.

Wallet

Vi vill tacka Zhongcheng Li från IES Red Team på ByteDance för hjälpen.

Web Extensions

Vi vill tacka Carlos Jeurissen, Rob Wu (robwu.nl) för hjälpen.

WebKit

Vi vill tacka Vamshi Paili för hjälpen.

WebKit Process Model

Vi vill tacka Joseph Semaan för hjälpen.

Wi-Fi

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy), en anonym forskare för hjälpen.

Wi-Fi Connectivity

Vi vill tacka Alex Radocea på Supernetworks, Inc för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Mitul Pranjay, Serok Çelik för hjälpen.