Проблеми системи безпеки, які усунено в оновленні visionOS 26
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 26.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 26
Дата випуску: 15 вересня 2025 р.
AppleMobileFileIntegrity
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43317: Mickey Jin (@patch1t)
Apple Neural Engine
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43344: анонімний дослідник
Audio
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43346: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Audio
Цільові продукти: Apple Vision Pro
Вплив: шкідлива програма може зчитувати пам’ять ядра.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43361: Michael Reeves (@IntegralPilot)
Запис додано 3 листопада 2025 р.
Bluetooth
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.
CVE-2025-43354: Csaba Fitzl (@theevilbit) з Kandji
CVE-2025-43303: Csaba Fitzl (@theevilbit) з Kandji
CloudKit
Цільові продукти: Apple Vision Pro
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2025-43323: Yinyi Wu (@_3ndy1) з Dawn Security Lab (JD.com, Inc)
Запис додано 3 листопада 2025 р.
CoreAudio
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreMedia
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-43372: 이동하 (Lee Dong Ha) із SSA Lab
DiskArbitration
Цільові продукти: Apple Vision Pro
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-43316: Csaba Fitzl (@theevilbit) із Kandji, анонімний дослідник
IOHIDFamily
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43302: Keisuke Hosoda
Kernel
Цільові продукти: Apple Vision Pro
Вплив: серверний сокет UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2025-43359: Viktor Oreshkin
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
CVE-2025-43345: Mickey Jin (@patch1t)
Запис додано 3 листопада 2025 р.
MobileStorageMounter
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
CVE-2025-43355: Dawuge із Shuffle Team
Spell Check
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2025-43190: Noah Gregory (wts.dev)
SQLite
Цільові продукти: Apple Vision Pro
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2025-6965
System
Цільові продукти: Apple Vision Pro
Вплив: вирішено проблему, пов’язану з перевіркою вводу.
Опис: проблему вирішено через видалення вразливого коду.
CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)
WebKit
Цільові продукти: Apple Vision Pro
Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
WebKit Bugzilla: 296153
CVE-2025-43356: Jaydev Ahire
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 294550
CVE-2025-43272: Big Bear
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 296490
CVE-2025-43343: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 296042
CVE-2025-43342: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 293895
CVE-2025-43419: Ignacio Sanmillan (@ulexec)
Запис додано 3 листопада 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell із grepular.com, Bob Lord
Запис додано 3 листопада 2025 р.
Додаткова подяка
AuthKit
Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.
Calendar
Дякуємо за допомогу користувачам Keisuke Chinone (Iroiro) і Rosyna Keller із Totally Not Malicious Software.
Запис оновлено 26 травня 2026 р.
CFNetwork
Дякуємо за допомогу Christian Kohlschütter.
Core Bluetooth
Дякуємо за допомогу користувачу Leon Böttger.
Запис додано 3 листопада 2025 р.
Control Center
Дякуємо за допомогу користувачу Damitha Gunawardena.
CoreMedia
Дякуємо Noah Gregory (wts.dev) за допомогу.
darwinOS
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
Files
Дякуємо за допомогу користувачу Tyler Montgomery.
Foundation
Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.
ImageIO
Дякуємо за допомогу користувачам DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) з Enki WhiteHat.
IOGPUFamily
Дякуємо за допомогу користувачу Wang Yu із Cyberserval.
Kernel
Дякуємо за допомогу користувачам Sungwoo Kim, Yepeng Pan і професору д-ру Christian Rossow.
Запис оновлено 26 травня 2026 р.
libc
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
libpthread
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
libxml2
Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).
mDNSResponder
Дякуємо за допомогу користувачу Barrett Lyon.
Networking
Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.
Notes
Дякуємо за допомогу користувачу Atul R V.
Passwords
Дякуємо за допомогу Christian Kohlschütter.
Safari
Дякуємо за допомогу користувачу Ameen Basha M K.
Sandbox Profiles
Дякуємо за допомогу користувачу Rosyna Keller із Totally Not Malicious Software.
Spotlight
Дякуємо за допомогу користувачу Christian Scalese.
Transparency
Дякуємо за допомогу користувачу Wojciech Regula із SecuRing (wojciechregula.blog) і 要乐奈.
WebKit
Дякуємо за допомогу користувачу Matthew Liang.
Запис оновлено 3 листопада 2025 р.
Wi-Fi
Дякуємо за допомогу користувачам Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) та анонімному досліднику.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.