Проблеми системи безпеки, які усунено в оновленні visionOS 26.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 26.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

visionOS 26.2

App Store

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних токенів платежів.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46288: floeki, Zhongcheng Li з відділу IES Red компанії ByteDance

AppleJPEG

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: зловмисник може підробляти ідентифікатор абонента FaceTime.

Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.

CVE-2025-46287: анонімний дослідник, Riley Walz

curl

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: виявлено кілька проблем у curl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: у полях паролів можуть випадково відображатися паролі під час віддаленого керування пристроями через FaceTime.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2025-43542: Yiğit Ocak

Foundation

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка зловмисних даних може призводити до неочікуваного завершення роботи програми.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43532: Andrew Calvano та Lucas Pinheiro з відділу безпеки продуктів Meta

Icons

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: програма може визначати, яке інше ПЗ встановив користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: програма може отримувати права кореневого користувача.

Опис: цілочисельне переповнення усунено шляхом впровадження 64-розрядних міток часу.

CVE-2025-46285: Kaitao Xie та Xiaolong Bai з Alibaba Group

Messages

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з розкриттям інформації вирішено завдяки вдосконаленню контролю приватності.

CVE-2025-46276: Rosyna Keller із Totally Not Malicious Software

Multi-Touch

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43533: група аналізу загроз Google

Photos

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: фотографії в альбомі «Приховані» можуть переглядатися без автентифікації.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43428: анонімний дослідник, Michael Schmutzer з Інгольштадтського технічного університету

Screen Time

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43538: Iván Savransky

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.

Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.

CVE-2025-43541: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2025-43501: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43531: Phil Pizlo з Epic Games

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. За результатами цього звіту також опубліковано вразливість CVE-2025-14174.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43529: група аналізу загроз Google

WebKit

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. За результатами цього звіту також опубліковано вразливість CVE-2025-43529.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2025-14174: група з аналізу загроз Apple і Google

WebKit Web Inspector

Цільові продукти: Apple Vision Pro (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43511: 이동하 (Lee Dong Ha з BoB 14th)

Додаткова подяка

AppleMobileFileIntegrity

Дякуємо за допомогу анонімному досліднику.

Core Services

Дякуємо за допомогу Golden Helm Securities.

Safari

Дякуємо за допомогу користувачу Mochammad Nosa Shandy Prastyo.

WebKit

Дякуємо за допомогу користувачу Geva Nurgandi Syahputra (gevakun).