Om sikkerhedsindholdet i visionOS 2.4

I dette dokument beskrives sikkerhedsindholdet i visionOS 2.4.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 2.4

Accounts

Fås til: Apple Vision Pro

Effekt: Følsomme nøgleringsdata kan være tilgængelige fra en iOS-sikkerhedskopi

Beskrivelse: Problemet er løst via forbedret begrænsning af adgang til data.

CVE-2025-24221: Lehan Dilusha (@zafer) og en anonym programmør

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En ikke-godkendt bruger på samme netværk som den Mac-computer, der er logget ind, kunne sende AirPlay-kommandoer uden pardannelse

Beskrivelse: Et adgangsproblem er løst via forbedrede adgangsbegrænsninger.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på det lokale netværk kan muligvis afsløre følsomme brugeroplysninger

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på det lokale netværk kan muligvis beskadige proceshukommelse

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på et det lokale netværk kan muligvis forårsage en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på det lokale netværk kunne muligvis tilsidesætte godkendelsespolitikken

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Fås til: Apple Vision Pro

Effekt: En hacker på et det lokale netværk kan muligvis forårsage en uventet applukning

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Fås til: Apple Vision Pro

Effekt: En app kan muligvis omgå ASLR

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2025-43205: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Audio

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24243: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Authentication Services

Fås til: Apple Vision Pro

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30430: Dominik Rath

Authentication Services

Fås til: Apple Vision Pro

Effekt: Et skadeligt websted kan muligvis hente WebAuthn-loginoplysninger fra et andet websted, der deler et suffiks, som kan registreres

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2025-24180: Martin Kreichgauer fra Google Chrome

BiometricKit

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Fås til: Apple Vision Pro

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Fås til: Apple Vision Pro

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Fås til: Apple Vision Pro

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Fås til: Apple Vision Pro

Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24230: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2025-31196: wac, der arbejder med Trend Micro Zero Day Initiative

CoreMedia

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2025-24211: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24190: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreText

Fås til: Apple Vision Pro

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2025-24182: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Fås til: Apple Vision Pro

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Fås til: Apple Vision Pro

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-9681

Focus

Fås til: Apple Vision Pro

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2025-30439: Andr.Ess

Focus

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at rense logføring

CVE-2025-30447: LFY@secsys fra Fudan University

ImageIO

Fås til: Apple Vision Pro

Effekt: Parsing af et billede kan medføre afsløring af brugeroplysninger

Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.

CVE-2025-24210: Anonym, der arbejder med Trend Micros Zero Day Initiative

IOGPUFamily

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2025-24257: Wang Yu fra Cyberserval

Kernel

Fås til: Apple Vision Pro

Effekt: En skadelig app kan muligvis forsøge at få adgang via kode på en låst enhed og dermed forårsage større tidsforsinkelser efter 4 forkerte forsøg

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Fås til: Apple Vision Pro

Effekt: Et problem med inputvalidering er løst

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-48958

libnetcore

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2025-24194: en anonym programmør

libxml2

Fås til: Apple Vision Pro

Effekt: Parsing af et arkiv kan medføre en uventet applukning

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Fås til: Apple Vision Pro

Effekt: En app kan muligvis slette arkiver, som den ikke har tilladelse til

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2025-31182: Alex Radocea og Dave G. fra Supernetworks, 风沐云烟(@binary_fmyy) og Minghao Lin(@Y1nKoc)

Logging

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) fra Microsoft, Alexia Wilson fra Microsoft, Christine Fossaceca fra Microsoft

Maps

Fås til: Apple Vision Pro

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2025-30470: LFY@secsys fra Fudan University

NetworkExtension

Fås til: Apple Vision Pro

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-30426: Jimmy

Power Services

Fås til: Apple Vision Pro

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Fås til: Apple Vision Pro

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Fås til: Apple Vision Pro

Effekt: Et websted kan muligvis omgå politikken om samme oprindelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Fås til: Apple Vision Pro

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet blev løst ved forbedret brugergrænseflade.

CVE-2025-24113: @RenwaX23

Security

Fås til: Apple Vision Pro

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai fra Alibaba Group, Luyi Xing fra Indiana University Bloomington

Share Sheet

Fås til: Apple Vision Pro

Effekt: En skadelig app kan muligvis afvise systemnotifikationen på den låste skærm, hvor en optagelse blev startet

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Fås til: Apple Vision Pro

Effekt: En genvej kan muligvis få adgang til arkiver, som appen Genveje normalt ikke kan få adgang til

Beskrivelse: Problemet er løst via forbedrede adgangsbegrænsninger.

CVE-2025-30433: Andrew James Gonzalez

Siri

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved ikke at logge indhold i tekstfelter.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få uautoriseret adgang til lokalnetværk

Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) og Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Fås til: Apple Vision Pro

Effekt: Et besøg på et websted kan medføre afsløring af følsomme data

Beskrivelse: Et problem med import af scripts er løst via forbedret isolering.

CVE-2025-24192: Vsevolod Kokorin (Slonser) fra Solidlab

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2025-24264: Gary Kwong og en anonym programmør

CVE-2025-24216: Paul Bakker fra ParagonERP

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2025-30427: rheza (@ginggilBesel)

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) hos routezero.security for hjælpen.

AirPlay

Vi vil gerne takke Uri Katz (Oligo Security) for hjælpen.

Apple Account

Vi vil gerne takke Byron Fecho for hjælpen.

FaceTime

Vi vil gerne takke en anonym, Dohyun Lee (@l33d0hyun) fra USELab, Korea University og Youngho Choi fra CEL, Korea University og Geumhwan Cho fra USELab, Korea University for hjælpen.

Find My

Vi vil gerne takke 神罚(@Pwnrin) for hjælpen.

Foundation

Vi vil gerne takke Jann Horn fra Google Project Zero for dennes assistance.

HearingCore

Vi vil gerne takke Kirin@Pwnrin og LFY@secsys fra Fudan University for hjælpen.

ImageIO

Vi vil gerne takke D4m0n for hjælpen.

Mail

Vi vil gerne takke Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau fra The Chinese University of Hong Kong for hjælpen.

Messages

Vi vil gerne takke parkminchan fra Korea Univ. for hjælpen.

Photos

Vi vil gerne takke Bistrit Dahal for hjælpen.

Safari Extensions

Vi vil gerne takke Alisha Ukani, Pete Snyder, Alex C. Snoeren for hjælpen.

Sandbox Profiles

Vi vil gerne takke Benjamin Hornbeck for hjælpen.

SceneKit

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

Security

Vi vil gerne takke Kevin Jones (GitHub) for hjælpen.

Settings

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram, Indien, for hjælpen.

Shortcuts

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

WebKit

Vi vil gerne takke Wai Kin Wong, Dongwei Xiao, Shuai Wang og Daoyuan Wu fra HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) fra VXRL, Wong Wai Kin, Dongwei Xiao og Shuai Wang fra HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) fra VXRL., Xiangwei Zhang fra Tencent Security YUNDING LAB og en anonym programmør for hjælpen.