Проблеми системи безпеки, які усунено в оновленні visionOS 26

У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 26.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

visionOS 26

AppleMobileFileIntegrity

Цільові продукти: Apple Vision Pro

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43317: Mickey Jin (@patch1t)

Apple Neural Engine

Цільові продукти: Apple Vision Pro

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43344: анонімний дослідник

Audio

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43346: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Bluetooth

Цільові продукти: Apple Vision Pro

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43354: Csaba Fitzl (@theevilbit) з Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) з Kandji

CoreAudio

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43349: @zlluny, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

CoreMedia

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43372: 이동하 (Lee Dong Ha) із SSA Lab

DiskArbitration

Цільові продукти: Apple Vision Pro

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43316: Csaba Fitzl (@theevilbit) з Kandji й анонімний дослідник

IOHIDFamily

Цільові продукти: Apple Vision Pro

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43302: Keisuke Hosoda

Kernel

Цільові продукти: Apple Vision Pro

Вплив: сокет сервера UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Цільові продукти: Apple Vision Pro

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43355: Dawuge із Shuffle Team

Spell Check

Цільові продукти: Apple Vision Pro

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43190: Noah Gregory (wts.dev)

SQLite

Цільові продукти: Apple Vision Pro

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-6965

System

Цільові продукти: Apple Vision Pro

Вплив: вирішено проблему, пов’язану з перевіркою вводу.

Опис: проблему вирішено через видалення вразливого коду.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Цільові продукти: Apple Vision Pro

Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2025-43356: Jaydev Ahire

WebKit

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43272: Big Bear

WebKit

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43343: анонімний дослідник

WebKit

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-43342: анонімний дослідник

Додаткова подяка

AuthKit

Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.

Calendar

Дякуємо за допомогу користувачу Keisuke Chinone (Iroiro).

CFNetwork

Дякуємо за допомогу користувачу Christian Kohlschütter.

CloudKit

Дякуємо за допомогу користувачу Yinyi Wu (@_3ndy1) із Dawn Security Lab компанії JD.com, Inc.

Control Center

Дякуємо за допомогу користувачу Damitha Gunawardena.

CoreMedia

Дякуємо за допомогу користувачу Noah Gregory (wts.dev).

darwinOS

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

Files

Дякуємо за допомогу користувачу Tyler Montgomery.

Foundation

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

ImageIO

Дякуємо за допомогу користувачам DongJun Kim (@smlijun) та JongSeong Kim (@nevul37) з Enki WhiteHat.

IOGPUFamily

Дякуємо за допомогу користувачу Wang Yu із Cyberserval.

Kernel

Дякуємо за допомогу користувачам Yepeng Pan і проф., д-ру Christian Rossow.

libc

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libpthread

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libxml2

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

mDNSResponder

Дякуємо за допомогу користувачу Barrett Lyon.

Networking

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

Notes

Дякуємо за допомогу користувачу Atul R V за допомогу.

Passwords

Дякуємо за допомогу користувачу Christian Kohlschütter.

Safari

Дякуємо за допомогу Ameen Basha M K.

Sandbox Profiles

Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.

Spotlight

Дякуємо за допомогу Christian Scalese.

Transparency

Дякуємо за допомогу користувачам Wojciech Regula із SecuRing (wojciechregula.blog) і 要乐奈.

WebKit

Дякуємо за допомогу користувачам Bob Lord, Matthew Liang, Mike Cardwell із grepular.com/

Wi-Fi

Дякуємо за допомогу користувачам Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) із Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) і анонімному досліднику.