Om säkerhetsinnehållet i visionOS 26.4

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 26.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

visionOS 26.4

802.1X

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28865: Héloïse Gollier och Mathy Vanhoef (KU Leuven)

Accounts

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28877: Rosyna Keller på Totally Not Malicious Software

Audio

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28879: Justin Cohen på Google

Audio

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2026-28822: Jex Amro

CoreMedia

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av en ljudstream i en skadlig mediefil kan leda till att processen avslutas

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20690: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreUtils

Available for: Apple Vision Pro (alla modeller)

Effekt: En användare i en behörig nätverksposition kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28886: Etienne Charron (Renault) och Victoria Martini (Renault)

Crash Reporter

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-28878: Zhongcheng Li från IES Red Team

curl

Available for: Apple Vision Pro (alla modeller)

Effekt: Det förekom ett problem i curl som kunde leda till att känslig information oavsiktligt skickades via en felaktig anslutning

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-14524

DeviceLink

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2026-28876: Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs

GeoServices

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

iCloud

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28880: Zhongcheng Li från IES Red Team

CVE-2026-28833: Zhongcheng Li från IES Red Team

ImageIO

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-64505

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28868: 이동하 (Lee Dong Ha på BoB 0xB6)

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet åtgärdades med förbättrad autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

libxpc

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) på Voynich Group och Duy Trần (@khanhduytran0), @hugeBlack

Printing

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2026-20688: wdszzml och Atuin Automated Vulnerability Discovery Engine

Sandbox Profiles

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Available for: Apple Vision Pro (alla modeller)

Effekt: En lokal angripare kanske kan få tillgång till användarens nyckelringsobjekt

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2026-28864: Alex Radocea

Siri

Available for: Apple Vision Pro (alla modeller)

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.

CVE-2026-28856: en anonym granskare

UIFoundation

Available for: Apple Vision Pro (alla modeller)

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28852: Caspian Tarafdar

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20665: webben

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung

Beskrivning: Ett problem med data från flera källor i Navigation-API åtgärdades genom förbättrad indatavalidering.

CVE-2026-20643: Thomas Espach

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig webbsida kan eventuellt få åtkomst till hanterare av skriptmeddelanden som är avsedda för andra källor

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28861: Hongze Wu och Shuaike Dong från Ant Group Infrastructure Security Team

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig webbsida kan eventuellt bearbeta webbinnehåll med begränsad åtkomst utanför sandlådan

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28859: greenbynox, Arni Hardarson

WebKit

Available for: Apple Vision Pro (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20664: Daniel Rhea, Söhnke Benedikt Fischedick (Tripton), Emrovsky & Switch och Yevhen Pervushyn

CVE-2026-28857: Narcis Oliveras Fontàs, Söhnke Benedikt Fischedick (Tripton), Daniel Rhea och Nathaniel Oh (@calysteon)

WebKit Sandboxing

Available for: Apple Vision Pro (alla modeller)

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20691: Gongyu Ma (@Mezone0)

Ytterligare tack

AirPort

Vi vill tacka Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari och Omid Rezaii för hjälpen.

Bluetooth

Vi vill tacka Hamid Mahmoud för hjälpen.

Captive Network

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

CipherML

Vi vill tacka Nils Hanff (@nils1729@chaos.social) på Hasso-Plattner-Institut för hjälpen.

CloudAttestation

Vi vill tacka Suresh Sundaram och Willard Jansen för hjälpen.

CoreUI

Vi vill tacka Peter Malone för hjälpen.

Find My

Vi vill tacka Salemdomain för hjälpen.

GPU Drivers

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

ICU

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

Kernel

Vi vill tacka DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville från Fuzzinglabs, Patrick Ventuzelo från Fuzzinglabs, Robert Tran och Suresh Sundaram för hjälpen.

libarchive

Vi vill tacka Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs samt Arni Hardarson för hjälpen.

libc

Vi vill tacka Vitaly Simonovich för hjälpen.

Libnotify

Vi vill tacka på Ilias Morad (@A2nkF_) för hjälpen.

LLVM

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

Messages

Vi vill tacka JZ för hjälpen.

MobileInstallation

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Music

Vi vill tacka Mohammad Kaif (@_mkahmad | kaif0x01) för hjälpen.

Notes

Vi vill tacka Dawuge på Shuffle Team och Hunan-universitetet för hjälpen.

ppp

Vi vill tacka Dave G. för hjälpen.

Quick Look

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog) och en anonym granskare för hjälpen.

Safari

Vi vill tacka @RenwaX23, Farras Givari, Syarif Muhammad Sajjad och Yair för hjälpen.

Shortcuts

Vi vill tacka Waleed Barakat (@WilDN00B) och Paul Montgomery (@nullevent) för hjälpen.

Siri

Vi vill tacka Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, egenföretagare, för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.

UIKit

Vi vill tacka AEC, Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (USA:s marindepartement), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 och incredincomp för hjälpen.

Wallet

Vi vill tacka Zhongcheng Li från IES Red Team på ByteDance för hjälpen.

Web Extensions

Vi vill tacka Carlos Jeurissen och Rob Wu (robwu.nl) för hjälpen.

WebKit

Vi vill tacka Vamshi Paili för hjälpen.

WebKit Process Model

Vi vill tacka Joseph Semaan för hjälpen.

Wi-Fi

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) och en anonym granskare för hjälpen.

Wi-Fi Connectivity

Vi vill tacka Alex Radocea på Supernetworks, Inc för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Mitul Pranjay och Serok Çelik för hjälpen.