Acerca del contenido de seguridad de visionOS 2.5
En este documento se describe el contenido de seguridad de visionOS 2.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
visionOS 2.5
Publicado el 12 de mayo de 2025
AppleJPEG
Disponible para: Apple Vision Pro
Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.
Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.
CVE-2025-31251: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
Core Bluetooth
Disponible para: Apple Vision Pro
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2025-31212: Guilherme Rambo de Best Buddy Apps (rambo.codes)
CoreAudio
Disponible para: Apple Vision Pro
Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-31208: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CoreGraphics
Disponible para: Apple Vision Pro
Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2025-31209: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CoreMedia
Disponible para: Apple Vision Pro
Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2025-31239: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CoreMedia
Disponible para: Apple Vision Pro
Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos
Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.
CVE-2025-31233: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
iCloud Document Sharing
Disponible para: Apple Vision Pro
Impacto: un atacante podría activar el uso compartido de una carpeta de iCloud sin autenticación.
Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.
CVE-2025-30448: Dayton Pidhirney de Atredis Partners, Lyutoon y YenKoc
ImageIO
Disponible para: Apple Vision Pro
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2025-31226: Saagar Jha
Kernel
Disponible para: Apple Vision Pro
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24224: Tony Iskow (@Tybbow)
Entrada añadida el 29 de julio de 2025
Kernel
Disponible para: Apple Vision Pro
Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2025-31219: Michael DePlante (@izobashi) y Lucas Leong (@_wmliang_) de Trend Micro Zero Day Initiative
Kernel
Disponible para: Apple Vision Pro
Impacto: un atacante remoto podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de vulnerabilidad «double free» mejorando la gestión de la memoria.
CVE-2025-31241: Christian Kohlschütter
libexpat
Disponible para: Apple Vision Pro
Impacto: varios problemas en libexpat, incluido el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.
CVE-2024-8176
mDNSResponder
Disponible para: Apple Vision Pro
Impacto: un usuario podría ser capaz de elevar los privilegios.
Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Pro Res
Disponible para: Apple Vision Pro
Impacto: una app puede provocar una terminación inesperada del sistema
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-31245: wac
Pro Res
Disponible para: Apple Vision Pro
Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.
Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.
CVE-2025-31234: CertiK (@CertiK)
Security
Disponible para: Apple Vision Pro
Impacto: un atacante remoto podría filtrar memoria.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2025-31221: Dave G.
WebKit
Disponible para: Apple Vision Pro
Impacto: un problema de confusión de tipos podría provocar corrupción en la memoria
Descripción: se ha solucionado el problema mejorando la gestión de los elementos flotantes.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac en colaboración con Trend Micro Zero Day Initiative
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) y un investigador anónimo
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang(@eternalsakura13)
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari
Descripción: se ha solucionado el problema mejorando la validación de las entradas.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang y Jikai Ren
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
WebKit Bugzilla: 290834
CVE-2025-31206: un investigador anónimo
WebKit
Disponible para: Apple Vision Pro
Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric de Google Project Zero
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied de Lynck GmbH
Otros agradecimientos
AirDrop
Queremos dar las gracias a Dalibor Milanovic por su ayuda.
Kernel
Queremos dar las gracias a un investigador anónimo por su ayuda.
libnetcore
Queremos dar las gracias a Hoffcona of ByteDance IES Red Team por su ayuda.
MobileGestalt
Queremos dar las gracias a iisBuri por su ayuda.
NetworkExtension
Queremos dar las gracias a Andrei-Alexandru Bleorțu por su ayuda.
Safari
Queremos dar las gracias a Akash Labade, Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India).
Shortcuts
Queremos dar las gracias a Candace Jensen de Kandji, Chi Yuan Chang de ZUSO ART y taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud por su ayuda.
WebKit
Queremos dar las gracias a Mike Dougherty y Daniel White de Google Chrome y a un investigador anónimo por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.