Informationen zum Sicherheitsinhalt von visionOS 2.4

In diesem Dokument wird der Sicherheitsinhalt von visionOS 2.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

visionOS 2.4

Accounts

Verfügbar für: Apple Vision Pro

Auswirkung: Vertrauliche Schlüsselbunddaten können aus einer iOS-Sicherung zugänglich sein.

Beschreibung: Dieses Problem wurde durch eine verbesserte Datenzugriffsbeschränkung behoben.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka und eine anonyme forschende Person

Audio

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24243: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

Authentication Services

Verfügbar für: Apple Vision Pro

Auswirkung: Beim automatischen Ausfüllen von Passwörtern werden möglicherweise Passwörter eingefügt, nachdem die Authentifizierung fehlgeschlagen ist.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30430: Dominik Rath

Authentication Services

Verfügbar für: Apple Vision Pro

Auswirkung: Eine bösartige Website kann möglicherweise WebAuthn-Anmeldedaten von einer anderen Website anfordern, die ein registrierbares Suffix hat.

Beschreibung: Das Problem wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2025-24180: Martin Kreichgauer von Google Chrome

BiometricKit

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2025-24237: Yutong Xiu

Calendar

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Verfügbar für: Apple Vision Pro

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Verfügbar für: Apple Vision Pro

Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Audiodatei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24230: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24211: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24190: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

CoreText

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24182: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro

curl

Verfügbar für: Apple Vision Pro

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-9681

Focus

Verfügbar für: Apple Vision Pro

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise vertrauliche Benutzerdaten einsehen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2025-30439: Andr. Ess

Focus

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Protokollierungsproblem wurde durch verbesserte Datenschwärzung behoben.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.

CVE-2025-30447: LFY@secsys von der Fudan-Universität

ImageIO

Verfügbar für: Apple Vision Pro

Auswirkung: Die Analyse eines Bildes kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2025-24210: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOGPUFamily

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2025-24257: Wang Yu von Cyberserval

Kernel

Verfügbar für: Apple Vision Pro

Auswirkung: Eine böswillige Anwendung kann möglicherweise versuchen, Passcodes auf einem gesperrten Gerät einzugeben und dadurch eskalierende Zeitverzögerungen nach 4 Fehlversuchen verursachen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2025-30432: Michael (Biscuit) Thomas –·@biscuit@social.lol

libarchive

Verfügbar für: Apple Vision Pro

Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2024-48958

libnetcore

Verfügbar für: Apple Vision Pro

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2025-24194: Ein anonymer Forscher

libxml2

Verfügbar für: Apple Vision Pro

Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.

CVE-2025-27113

CVE-2024-56171

libxpc

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.

Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.

CVE-2025-31182: Alex Radocea und Dave G. von Supernetworks, 风沐云烟(@binary_fmyy) und Minghao Lin(@Y1nKoc)

Maps

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Logik behoben.

CVE-2025-30470: LFY@secsys von der Fudan-Universität

NetworkExtension

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-30426: Jimmy

Power Services

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Verfügbar für: Apple Vision Pro

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Verfügbar für: Apple Vision Pro

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI behoben.

CVE-2025-24113: @RenwaX23

Security

Verfügbar für: Apple Vision Pro

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2025-30471: Bing Shi, Wenchao Li Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington

Share Sheet

Verfügbar für: Apple Vision Pro

Auswirkung: Eine bösartige Anwendung kann die Systembenachrichtigung auf dem Sperrbildschirm, dass eine Aufzeichnung gestartet wurde, ausblenden.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Verfügbar für: Apple Vision Pro

Auswirkung: Ein Kurzbefehl kann auf Dateien zugreifen, die die normalerweise für die Kurzbefehle-App nicht zugänglich sind.

Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2025-30433: Andrew James Gonzalez

Siri

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem der Inhalt von Textfeldern nicht mehr protokolliert wird.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Verfügbar für: Apple Vision Pro

Auswirkung: Eine App kann möglicherweise unbefugt auf das lokale Netzwerk zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) und Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Verfügbar für: Apple Vision Pro

Auswirkung: Durch den Besuch einer Website können vertrauliche Daten offengelegt werden.

Beschreibung: Ein Problem mit Skriptimporten wurde mit verbesserter Isolierung behoben.

CVE-2025-24192: Vsevolod Kokorin (Slonser) von Solidlab

WebKit

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-24264: Gary Kwong und eine anonyme forschende Person

CVE-2025-24216: Paul Bakker von ParagonERP

WebKit

Verfügbar für: Apple Vision Pro

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2025-30427: rheza (@ginggilBesel)

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) mit routezero.security für die Unterstützung bedanken.

Apple Account

Wir möchten uns bei Byron Fecho für die Unterstützung bedanken.

Audio

Wir möchten uns bei Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro für die Unterstützung bedanken.

FaceTime

Wir möchten uns bei Anonymous, Dohyun Lee (@l33d0hyun) von USELab, Korea University & Youngho Choi von CEL, Korea University & Geumhwan Cho von USELab, Korea University für die Unterstützung bedanken.

Find My

Wir möchten uns bei 神罚(@Pwnrin) für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.

HearingCore

Wir möchten uns bei Kirin@Pwnrin und LFY@secsys von der Fudan University für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei D4m0n für die Unterstützung bedanken.

Mail

Wir möchten uns bei Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau von der The Chinese University of Hong Kong für die Unterstützung bedanken.

Messages

Wir möchten uns bei parkminchan von der Korea Univ für die Unterstützung bedanken. für die Unterstützung bedanken.

Photos

Wir möchten uns bei Bistrit Dahal für die Unterstützung bedanken.

Safari-Erweiterungen

Wir möchten uns bei Alisha Ukani, Pete Snyder, Alex C. Snoeren für die Unterstützung bedanken.

Sandbox Profiles

Wir möchten uns bei Benjamin Hornbeck für die Unterstützung bedanken.

SceneKit

Wir möchten uns bei Marc Schoenefeld, Dr. rer. nat. für die Unterstützung bedanken.

Security

Wir möchten uns bei Kevin Jones (GitHub) für die Unterstützung bedanken.

Einstellungen

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom C-DAC Thiruvananthapuram India für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Wai Kin Wong, Dongwei Xiao, Shuai Wang und Daoyuan Wu von HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) von VXRL, Wong Wai Kin, Dongwei Xiao und Shuai Wang von HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) von VXRL, Xiangwei Zhang von Tencent Security YUNDING LAB und einem anonymen Forscher für die Unterstützung bedanken.