A visionOS 26.2 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 26.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 26.2

App Store

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások hozzáférhettek bizalmas fizetési tokenekhez

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-46288: floeki, Zhongcheng Li (IES Red Team, ByteDance)

AppleJPEG

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egy támadó képes lehetett meghamisítani a FaceTime hívóazonosítóját

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2025-46287: anonim kutató, Riley Walz

curl

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-7264

CVE-2025-9086

FaceTime

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A jelszómezők véletlenül láthatóvá válhattak, amikor valaki távolról irányított egy eszközt FaceTime-on keresztül

Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2025-43542: Yiğit Ocak

Foundation

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A rosszindulatú adatok feldolgozása váratlan alkalmazásleálláshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2025-43532: Andrew Calvano és Lucas Pinheiro (Meta Product Security)

Icons

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni

Leírás: Kiküszöböltünk egy egészszám-túlcsordulást 64 bites időbélyegek használatával.

CVE-2025-46285: Kaitao Xie és Xiaolong Bai (Alibaba Group)

Messages

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Az adatvédelmi ellenőrzések fejlesztésével megoldottuk az információmegjelenítési problémát.

CVE-2025-46276: Rosyna Keller (Totally Not Malicious Software)

Multi-Touch

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egy rosszindulatú HID-eszköz váratlan folyamatösszeomlást okozhatott

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2025-43533: Google Threat Analysis Group

Photos

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2025-43428: anonim kutató, Michael Schmutzer of Technische Hochschule Ingolstadt

Screen Time

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-43538: Iván Savransky

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2025-43541: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-43501: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2025-43531: Phil Pizlo (Epic Games)

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-14174 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43529: Google Threat Analysis Group

WebKit

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő. Az Apple-nek tudomása van egy jelentésről, amely szerint ezt a problémát kihasználhatták egy különlegesen kifinomult, konkrétan megcélzott személyek ellen irányuló támadás keretében az iOS 26 előtti iOS-verziókban. A CVE-2025-43529 is kiadásra került erre a jelentésre reagálva.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-14174: Apple és Google Threat Analysis Group

WebKit Web Inspector

A következőhöz érhető el: Apple Vision Pro (minden modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-43511: 이동하 (Lee Dong Ha, BoB 14th)

További köszönetnyilvánítás

AppleMobileFileIntegrity

Köszönjük egy anonim kutató segítségét.

Core Services

Köszönjük a Golden Helm Securities segítségét.

Safari

Köszönjük Mochammad Nosa Shandy Prastyo segítségét.

WebKit

Köszönjük Geva Nurgandi Syahputra (gevakun) segítségét.