Проблеми системи безпеки, які усунено в оновленні visionOS 26.1
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 26.1.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 26.1
Дата випуску: 3 листопада 2025 р.
Apple Account
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: шкідлива програма може робити знімки екрана з конфіденційними даними у вбудованих поданнях.
Опис: проблему з приватністю вирішено завдяки вдосконаленню перевірок.
CVE-2025-43455: Ron Masas із BreakPoint.SH, Pinak Oza
Apple Neural Engine
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-43447: анонімний дослідник
CVE-2025-43462: анонімний дослідник
AppleMobileFileIntegrity
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може отримувати доступ до захищених даних користувача.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки вдосконаленню дозволів.
CVE-2025-43407: користувач JZ
Audio
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: зловмисник із фізичним доступом до розблокованого пристрою, який об’єднано в пару з комп’ютером Mac, може переглядати конфіденційну інформацію користувача в журналі системи.
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може перелічувати, скільки програм установив користувач.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43436: Zhongcheng Li з відділу IES Red компанії ByteDance
CoreText
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2025-43445: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
FileProvider
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.
CVE-2025-43498: користувач pattern-f (@pattern_F_)
Find My
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему приватності вирішено завдяки перенесенню конфіденційних даних.
CVE-2025-43507: користувач iisBuri
Installer
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43444: Zhongcheng Li з відділу IES Red компанії ByteDance
Kernel
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма в ізольованому середовищі може отримати можливість спостерігати за мережевими підключеннями на рівні всієї системи.
Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.
CVE-2025-43413: Dave G. й Alex Radocea із supernetworks.org
Mail Drafts
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: віддалений вміст може завантажуватися, навіть якщо параметр «Завантажити зовнішні зображення» вимкнуто.
Опис: проблему вирішено завдяки додаванню додаткової логіки.
CVE-2025-43496: Romain Lebesle, Himanshu Bharti (@Xpl0itme) з Khatima
Model I/O
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43386: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2025-43385: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2025-43384: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2025-43383: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Notes
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено завдяки видаленню вразливого коду.
CVE-2025-43389: користувач Kirin (@Pwnrin)
On-device Intelligence
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.
CVE-2025-43439: Zhongcheng Li з відділу IES Red компанії ByteDance
Safari
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-43493: користувач @RenwaX23
Safari
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
CVE-2025-43503: користувач @RenwaX23
Safari
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може обходити певні параметри приватності.
Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.
CVE-2025-43502: анонімний дослідник
Sandbox Profiles
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю усунено завдяки вдосконаленню обробки користувацьких налаштувань.
CVE-2025-43500: Stanislav Jelezoglo
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: проєкт Big Sleep від Google
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, користувач rheza (@ginggilBesel)
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 299843
CVE-2025-43443: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 298496
CVE-2025-43441: користувач rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen із Google
WebKit Bugzilla: 298851
CVE-2025-43425: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: цю проблему вирішено завдяки вдосконаленню перевірок
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 297662
CVE-2025-43438: користувач shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: проєкт Big Sleep від Google
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 298093
CVE-2025-43433: проєкт Big Sleep від Google
WebKit Bugzilla: 298194
CVE-2025-43431: проєкт Big Sleep від Google
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 298232
CVE-2025-43429: проєкт Big Sleep від Google
WebKit
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: кілька проблем вирішено завдяки вимкненню поглинання виділення масивів.
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
Цільові продукти: Apple Vision Pro (усі моделі)
Вплив: вебсайт може призводити до витоку даних зображень в інший домен.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Додаткова подяка
Дякуємо за допомогу анонімному досліднику.
MobileInstallation
Дякуємо за допомогу користувачу Bubble Zhang.
Safari
Дякуємо за допомогу користувачу Barath Stalin K.
Safari Downloads
Дякуємо за допомогу користувачу Saello Puza.
Shortcuts
Дякуємо за допомогу користувачам BanKai, Benjamin Hornbeck, Chi Yuan Chang із ZUSO ART і taikosoup, Ryan May, Andrew James Gonzalez і анонімному досліднику.
WebKit
Дякуємо за допомогу користувачу Enis Maholli (enismaholli.com) і проєкту Big Sleep від Google.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.