Acerca del contenido de seguridad de visionOS 2.4

En este documento se describe el contenido de seguridad de visionOS 2.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

visionOS 2.4

Accounts

Disponible para: Apple Vision Pro

Impacto: se puede acceder a datos sensibles del llavero desde una copia de seguridad de iOS

Descripción: este problema se ha solucionado con una restricción de acceso mejorada.

CVE-2025-24221: Lehan Dilusha (@zafer) y un investigador anónimo

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un usuario no autenticado en la misma red como un Mac conectado podría enviar comandos AirPlay sin realizar la vinculación

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local podría filtrar información confidencial de los usuarios

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local podría corromper la memoria

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local podría esquivar la política de autenticación

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Disponible para: Apple Vision Pro

Impacto: una app podría ser capaz de omitir ASLR.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43205: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: Apple Vision Pro

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Authentication Services

Disponible para: Apple Vision Pro

Impacto: el autocompletado de contraseñas puede rellenar las contraseñas después de un error de autenticación.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponible para: Apple Vision Pro

Impacto: un sitio web creado con fines malintencionados podría reclamar credenciales de WebAuthn de otro sitio web que comparta un sufijo registrable.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2025-24180: Martin Kreichgauer de Google Chrome

BiometricKit

Disponible para: Apple Vision Pro

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponible para: Apple Vision Pro

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponible para: Apple Vision Pro

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponible para: Apple Vision Pro

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24163: Grupo de análisis de amenazas de Google

CoreAudio

Disponible para: Apple Vision Pro

Impacto: reproducir un archivo de audio con fines malintencionados podría provocar una interrupción inesperada de la app

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2025-24230: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreGraphics

Disponible para: Apple Vision Pro

Impacto: el procesamiento de un archivo creado con fines malintencionados podría generar una denegación de servicio o una posible revelación del contenido de la memoria

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2025-31196: wac en colaboración con Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple Vision Pro

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24211: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple Vision Pro

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreText

Disponible para: Apple Vision Pro

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2025-24182: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible para: Apple Vision Pro

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponible para: Apple Vision Pro

Impacto: se ha resuelto un problema de validación de entradas

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-9681

Focus

Disponible para: Apple Vision Pro

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30439: Andr.Ess

Focus

Disponible para: Apple Vision Pro

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponible para: Apple Vision Pro

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado saneando los registros

CVE-2025-30447: LFY@secsys de Fudan University

ImageIO

Disponible para: Apple Vision Pro

Impacto: analizar una imagen podría provocar la revelación de información del usuario

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2025-24210: anónimo, en colaboración con Trend Micro Zero Day Initiative

IOGPUFamily

Disponible para: Apple Vision Pro

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2025-24257: Wang Yu de Cyberserval

Kernel

Disponible para: Apple Vision Pro

Impacto: una app creada con fines malintencionados podría intentar acceder a códigos en un dispositivo bloqueado y provocar retrasos incrementales tras 4 intentos erróneos

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponible para: Apple Vision Pro

Impacto: se ha resuelto un problema de validación de entradas

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-48958

libnetcore

Disponible para: Apple Vision Pro

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24194: un investigador anónimo

libxml2

Disponible para: Apple Vision Pro

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponible para: Apple Vision Pro

Impacto: una app podría eliminar archivos para los que no tiene permiso.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2025-31182: Alex Radocea y Dave G. de Supernetworks, 风沐云烟(@binary_fmyy) y Minghao Lin(@Y1nKoc)

Logging

Disponible para: Apple Vision Pro

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) de Microsoft, Alexia Wilson de Microsoft, Christine Fossaceca de Microsoft

Maps

Disponible para: Apple Vision Pro

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la lógica.

CVE-2025-30470: LFY@secsys de Fudan University

NetworkExtension

Disponible para: Apple Vision Pro

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-30426: Jimmy

Power Services

Disponible para: Apple Vision Pro

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Disponible para: Apple Vision Pro

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Disponible para: Apple Vision Pro

Impacto: un sitio web puede eludir la política del mismo origen.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Disponible para: Apple Vision Pro

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado el problema mediante la mejora de la interfaz de usuario.

CVE-2025-24113: @RenwaX23

Security

Disponible para: Apple Vision Pro

Impacto: un usuario remoto puede causar una denegación de servicio

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai de Alibaba Group, Luyi Xing de Indiana University Bloomington

Share Sheet

Disponible para: Apple Vision Pro

Impacto: una app creada con fines malintencionados podría descartar la notificación del sistema en la pantalla de bloqueo al iniciarse una grabación.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponible para: Apple Vision Pro

Impacto: una función rápida podría acceder a archivos que normalmente no son accesibles a través de la app Atajos

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponible para: Apple Vision Pro

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad evitando el registro de contenido de los campos de texto.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Disponible para: Apple Vision Pro

Impacto: una aplicación podría obtener acceso no autorizado a la red local.

Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) y Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Disponible para: Apple Vision Pro

Impacto: al visitar un sitio web podría filtrarse información sensible.

Descripción: se ha solucionado un problema de importación de scripts mejorando el aislamiento.

CVE-2025-24192: Vsevolod Kokorin (Slonser) de Solidlab

WebKit

Disponible para: Apple Vision Pro

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24264: Gary Kwong y un investigador anónimo

CVE-2025-24216: Paul Bakker de ParagonERP

WebKit

Disponible para: Apple Vision Pro

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-30427: rheza (@ginggilBesel)

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) con routezero.security por su ayuda.

AirPlay

Queremos dar las gracias por su ayuda a Uri Katz (Oligo Security)

Apple Account

Queremos dar las gracias a Byron Fecho por su ayuda.

FaceTime

Queremos dar las gracias por su ayuda a un investigador anónimo, Dohyun Lee (@l33d0hyun) de USELab, la Universidad de Corea junto con Youngho Choi de CEL, la Universidad de Corea junto con Geumhwan Cho de USELab y la Universidad de Corea.

Find My

Queremos dar las gracias a 神罚(@Pwnrin) por su ayuda.

Foundation

Queremos dar las gracias por su ayuda a Jann Horn de Google Project Zero.

HearingCore

Queremos dar las gracias a Kirin@Pwnrin y LFY@secsys de Fudan University por su ayuda.

ImageIO

Queremos dar las gracias a D4m0n por su ayuda.

Mail

Queremos dar las gracias a Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau de The Chinese University of Hong Kong por su ayuda.

Messages

Queremos dar las gracias a parkminchan de Korea Univ. .

Photos

Queremos dar las gracias por su ayuda a Bistrit Dahal.

Safari Extensions

Queremos dar las gracias a Alisha Ukani, Pete Snyder y Alex C. Snoeren por su ayuda.

Sandbox Profiles

Queremos dar las gracias a Benjamin Hornbeck por su ayuda.

SceneKit

Queremos dar las gracias a Marc Schoenefeld, Dr. rer. nat. .

Security

Queremos dar las gracias a Kevin Jones (GitHub) por su ayuda.

Settings

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India por su ayuda.

Shortcuts

Queremos dar las gracias a Chi Yuan Chang de ZUSO ART y taikosoup por su ayuda.

WebKit

Queremos dar las gracias a Wai Kin Wong, Dongwei Xiao, Shuai Wang y Daoyuan Wu de HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) de VXRL, Wong Wai Kin, Dongwei Xiao y Shuai Wang de HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) de VXRL., Xiangwei Zhang de Tencent Security YUNDING LAB y un investigador anónimo por su ayuda.