Informace o bezpečnostním obsahu visionOS 2.5

Tento dokument popisuje bezpečnostní obsah visionOS 2.5.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

visionOS 2.5

AppleJPEG

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém byl vyřešen vylepšením sanitizace vstupů.

CVE-2025-31251: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Core Bluetooth

K dispozici pro: Apple Vision Pro

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2025-31212: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)

CoreAudio

K dispozici pro: Apple Vision Pro

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31208: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreGraphics

K dispozici pro: Apple Vision Pro

Dopad: Parsování souboru může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: Apple Vision Pro

Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2025-31239: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreMedia

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého souboru videa může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.

Popis: Problém byl vyřešen vylepšením sanitizace vstupů.

CVE-2025-31233: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

iCloud Document Sharing

K dispozici pro: Apple Vision Pro

Dopad: Útočníkovi se může podařit zapnout sdílení složky na iCloudu bez ověření.

Popis: Problém byl vyřešen zavedením dalších kontrol oprávnění.

CVE-2025-30448: Dayton Pidhirney ze společnosti Atredis Partners, Lyutoon a YenKoc

ImageIO

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Kernel

K dispozici pro: Apple Vision Pro

Dopad: Vzdálenému útočníkovi se může podařit způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

K dispozici pro: Apple Vision Pro

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z Trend Micro Zero Day Initiative

Kernel

K dispozici pro: Apple Vision Pro

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém s dvojitým uvolněním paměti byl vyřešen vylepšením správy paměti.

CVE-2025-31241: Christian Kohlschütter

libexpat

K dispozici pro: Apple Vision Pro

Dopad: Několik problémů v libexpat, včetně nečekaného ukončení aplikace nebo spuštění libovolného kódu

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-8176

mDNSResponder

K dispozici pro: Apple Vision Pro

Dopad: Uživateli se může podařit navýšit oprávnění.

Popis: Problém se správností byl vyřešen vylepšením kontrol.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

K dispozici pro: Apple Vision Pro

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31245: wac

Pro Res

K dispozici pro: Apple Vision Pro

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením sanitizace vstupů.

CVE-2025-31234: CertiK (@CertiK)

Security

K dispozici pro: Apple Vision Pro

Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.

Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.

CVE-2025-31221: Dave G.

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Problém se záměnou typů může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením zpracování čísel s plovoucí desetinnou čárkou.

CVE-2025-24213: tým Google V8 Security Team

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31223: Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs

CVE-2025-31238: wac ve spolupráci se Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-24223: rheza (@ginggilBesel) a anonymní výzkumník

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém byl vyřešen vylepšeným ověřováním vstupů.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.

CVE-2025-31206: anonymní výzkumník

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Škodlivý web může získat data napříč původy.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2025-31205: Ivan Fratric z týmu Google Project Zero

WebKit

K dispozici pro: Apple Vision Pro

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2025-31257: Juergen Schmied ze společnosti Lynck GmbH

Další poděkování

AirDrop

Poděkování za pomoc zaslouží Dalibor Milanovic.

Kernel

Poděkování za pomoc zaslouží anonymní výzkumník.

libnetcore

Poděkování za pomoc zaslouží Hoffcona z týmu IES Red Team společnosti ByteDance.

MobileGestalt

Poděkování za pomoc zaslouží iisBuri.

NetworkExtension

Poděkování za pomoc zaslouží Andrei-Alexandru Bleorțu.

Safari

Poděkování za pomoc zaslouží Akash Labade, Narendra Bhati, Manager ze Cyber Security ve společnosti Suma Soft Pvt. Ltd, Pune (Indie).

Shortcuts

Poděkování za pomoc zaslouží Candace Jensen ze společnosti Kandji, Chi Yuan Chang ze společnosti ZUSO ART a taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud.

WebKit

Poděkování za pomoc zaslouží Mike Dougherty a Daniel White z týmu Google Chrome a anonymní výzkumník.