Проблеми системи безпеки, які усунено в оновленні visionOS 26
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 26.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 26
Дата випуску: 15 вересня 2025 р.
AppleMobileFileIntegrity
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43317: Mickey Jin (@patch1t)
Apple Neural Engine
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43344: анонімний дослідник
Audio
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43346: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Audio
Цільові продукти: Apple Vision Pro
Вплив: шкідлива програма може зчитувати пам’ять ядра.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43361: Michael Reeves (@IntegralPilot)
Запис додано 3 листопада 2025 р.
Bluetooth
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-43354: Csaba Fitzl (@theevilbit) з Kandji
CVE-2025-43303: Csaba Fitzl (@theevilbit) з Kandji
CloudKit
Цільові продукти: Apple Vision Pro
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-43323: Yinyi Wu (@_3ndy1) з Dawn Security Lab (JD.com, Inc)
Запис додано 3 листопада 2025 р.
CoreAudio
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreMedia
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43372: 이동하 (Lee Dong Ha) із SSA Lab
DiskArbitration
Цільові продукти: Apple Vision Pro
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43316: Csaba Fitzl (@theevilbit) із Kandji, анонімний дослідник
IOHIDFamily
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43302: Keisuke Hosoda
Kernel
Цільові продукти: Apple Vision Pro
Вплив: серверний сокет UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2025-43359: Viktor Oreshkin
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
CVE-2025-43345: Mickey Jin (@patch1t)
Запис додано 3 листопада 2025 р.
MobileStorageMounter
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
CVE-2025-43355: Dawuge із Shuffle Team
Spell Check
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-43190: Noah Gregory (wts.dev)
SQLite
Цільові продукти: Apple Vision Pro
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2025-6965
System
Цільові продукти: Apple Vision Pro
Вплив: вирішено проблему, пов’язану з перевіркою вводу.
Опис: проблему вирішено через видалення вразливого коду.
CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)
WebKit
Цільові продукти: Apple Vision Pro
Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
WebKit Bugzilla: 296153
CVE-2025-43356: Jaydev Ahire
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 294550
CVE-2025-43272: Big Bear
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 296490
CVE-2025-43343: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 296042
CVE-2025-43342: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 293895
CVE-2025-43419: Ignacio Sanmillan (@ulexec)
Запис додано 3 листопада 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell із grepular.com, Bob Lord
Запис додано 3 листопада 2025 р.
Додаткова подяка
AuthKit
Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.
Calendar
Дякуємо за допомогу користувачу Keisuke Chinone (Iroiro).
CFNetwork
Дякуємо за допомогу Christian Kohlschütter.
Core Bluetooth
Дякуємо за допомогу користувачу Leon Böttger.
Запис додано 3 листопада 2025 р.
Control Center
Дякуємо за допомогу користувачу Damitha Gunawardena.
CoreMedia
Дякуємо Noah Gregory (wts.dev) за допомогу.
darwinOS
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
Files
Дякуємо за допомогу користувачу Tyler Montgomery.
Foundation
Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.
ImageIO
Дякуємо за допомогу користувачам DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) з Enki WhiteHat.
IOGPUFamily
Дякуємо за допомогу користувачу Wang Yu із Cyberserval.
Kernel
Дякуємо за допомогу користувачу Yepeng Pan і проф., д-ру Christian Rossow.
libc
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
libpthread
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
libxml2
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
mDNSResponder
Дякуємо за допомогу користувачу Barrett Lyon.
Networking
Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.
Notes
Дякуємо за допомогу користувачу Atul R V.
Passwords
Дякуємо за допомогу Christian Kohlschütter.
Safari
Дякуємо за допомогу Ameen Basha M K.
Sandbox Profiles
Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.
Spotlight
Дякуємо за допомогу Christian Scalese.
Transparency
Дякуємо за допомогу користувачу Wojciech Regula із SecuRing (wojciechregula.blog) і 要乐奈.
WebKit
Дякуємо за допомогу користувачу Matthew Liang.
Запис оновлено 3 листопада 2025 р.
Wi-Fi
Дякуємо за допомогу користувачам Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) та анонімному досліднику.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.