Obsah zabezpečenia v systéme visionOS 26.2

V tomto dokumente sa opisuje obsah zabezpečenia v systéme visionOS 26.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 26.2

App Store

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým platobným tokenom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46288: floeki, Zhongcheng Li z tímu IES Red Team spoločnosti ByteDance

AppleJPEG

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Spracovanie súboru môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Calling Framework

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Útočník môže byť schopný falšovať ID volajúceho na FaceTime

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-46287: anonymný výskumník, Riley Walz

curl

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Viacero problémov v súčasti curl

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-7264

CVE-2025-9086

FaceTime

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Pri ovládaní zariadenia na diaľku cez FaceTime sa môžu neúmyselne odhaliť polia pre heslo

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43542: Yiğit Ocak

Foundation

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie škodlivých údajov môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43532: Andrew Calvano a Lucas Pinheiro z tímu Meta Product Security

Icons

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Opis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený prijatím 64-bitových časových značiek.

CVE-2025-46285: Kaitao Xie a Xiaolong Bai z tímu Alibaba Group

Messages

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém so zverejnením informácií bol vyriešený vylepšením kontroly súkromia.

CVE-2025-46276: Rosyna Keller z tímu Totally Not Malicious Software

Multi-Touch

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Zariadenie HID so škodlivým kódom môže spôsobiť neočakávané zlyhanie procesu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2025-43533: Google Threat Analysis Group

Photos

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez autentifikácie

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43428: anonymný výskumník, Michael Schmutzer z Technickej univerzity v Ingolstadte

Screen Time

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Opis: Dochádzalo k problému so zaznamenávaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43538: Iván Savransky

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43541: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43501: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-43531: Phil Pizlo z tímu Epic Games

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-14174 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43529: Google Threat Analysis Group

WebKit

Dostupné pre: Apple Vision Pro (všetky modely)

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte. Spoločnosť Apple má informácie o tom, že tento problém mohol byť zneužitý pri mimoriadne sofistikovanom útoku na konkrétne cieľové osoby vo verziách systému iOS starších ako iOS 26. CVE-2025-43529 bol tiež vydaný v reakcii na túto správu.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2025-14174: Apple a Google Threat Analysis Group

WebKit Web Inspector

Dostupné pre: Apple Vision Pro (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43511: 이동하 (Lee Dong Ha z projektu BoB 14th)

Ďalšie poďakovanie

AppleMobileFileIntegrity

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Core Services

Poďakovanie za pomoc si zaslúži tím Golden Helm Securities.

Safari

Poďakovanie za pomoc si zaslúži Mochammad Nosa Shandy Prastyo.

WebKit

Poďakovanie za pomoc si zaslúži Geva Nurgandi Syahputra (gevakun).