关键信息总结 版本信息 - visionOS 26.3,发布日期:2026年2月11日 受影响的组件和漏洞描述 - AppleMobileFileIntegrity - CVE-2026-20625:解析目录路径时存在的问题,可能导致应用程序访问敏感用户数据。 - Bluetooth - CVE-2026-20650:通过改进验证解决了拒绝服务问题。 - CFNetwork - CVE-2026-20660:路径处理问题导致远程用户可能写入任意文件。 - CoreAudio - CVE-2026-20611:处理恶意媒体文件时导致应用程序异常终止或进程内存损坏。 - CoreMedia - CVE-2026-20609:处理恶意文件可能导致服务拒绝或泄露内存内容。 - CoreServices - CVE-2026-20615 和 CVE-2026-20617:应用程序可能获得root权限的漏洞。 - CVE-2026-20627:处理环境变量时的漏洞,可能导致应用程序访问敏感用户数据。 - dyld - CVE-2026-20700:内存损坏问题,可能导致攻击者执行任意代码。 - ImageIO - CVE-2026-20634 和 CVE-2026-20675:处理恶意图像文件时可能导致用户信息泄露或进程内存泄露。 - Kernel - 多个CVE,包括 CVE-2026-20654 和 CVE-2026-20626,涉及系统意外终止、获取root权限和拦截网络流量等问题。 - libexpat - CVE-2025-59375:开源代码中的漏洞,可能导致服务拒绝。 - Messages - CVE-2026-20677:快捷方式可能绕过沙盒限制。 - Model I/O - CVE-2026-20616:处理恶意USD文件时应用程序可能异常终止。 - Sandbox - CVE-2026-20628:权限问题,应用程序可能突破沙盒限制。 - Shortcuts - CVE-2026-20653:路径处理问题,可能导致应用程序访问敏感用户数据。 - StoreKit - CVE-2026-20641:隐私问题,应用程序可能识别用户安装的其他应用程序。 - WebKit - 多个CVE,包括 CVE-2026-20652 和 CVE-2026-20608,涉及远程攻击导致的服务拒绝、跟踪用户和进程崩溃等问题。 特别注意 - dyld组件中的 CVE-2026-20700 被报告可能存在针对特定iOS 26之前版本用户的极复杂定向攻击。 致谢 - 针对多个组件中的漏洞修复,Apple致谢了来自学术界、安全研究组织和个人研究者的贡献。