מידע על תוכן האבטחה של visionOS 2.3
מסמך זה מתאר את תוכן האבטחה של visionOS 2.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 2.3
הופץ ב-27 בינואר 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.
CVE-2025-24179: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח להשחית זיכרון תהליך
תיאור: טופלה בעיה באימות קלט.
CVE-2025-24126: Uri Katz (Oligo Security)
הרשומה עודכנה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24129: Uri Katz (Oligo Security)
הרשומה עודכנה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24131: Uri Katz (Oligo Security)
הרשומה עודכנה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת מקומית עלול להשחית זיכרון תהליך
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24137: Uri Katz (Oligo Security)
הרשומה עודכנה ב-28 באפריל 2025
ARKit
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ו-Xingwei Lin מ-Zhejiang University
CoreAudio
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24123: Desmond יחד עם Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car ו-Rotiple (HyeongSeok Jang) יחד עם Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 17.2.
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2025-24085
CoreMedia Playback
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) ו-Lee Dong Ha (Who4mI)
הרשומה נוספה ב‑16 במאי 2025
Display
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2025-24111: Wang Yu מ-Cyberserval
הרשומה נוספה ב-12 במאי 2025
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24086: DongJun Kim (@smlijun) ו-JongSeong Kim (@nevul37) ב-Enki WhiteHat, D4m0n
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
הרשומה נוספה ב-12 במאי 2025
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-55549: Ivan Fratric מ-Google Project Zero
CVE-2025-24855: Ivan Fratric מ-Google Project Zero
הרשומה נוספה ב‑16 במאי 2025
PackageKit
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-31262: Mickey Jin (@patch1t)
הרשומה נוספה ב‑16 במאי 2025
Safari
זמין עבור: Apple Vision Pro
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות ממשק משתמש משופר.
CVE-2025-24113: @RenwaX23
SceneKit
זמין עבור: Apple Vision Pro
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-24149: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
WebContentFilter
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24154: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 284332
CVE-2025-24189: חוקר אנונימי
הרשומה נוספה ב‑16 במאי 2025
WebKit
זמין עבור: Apple Vision Pro
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה בעזרת הגבלות גישה משופרות למערכת הקבצים.
WebKit Bugzilla: 283117
CVE-2025-24143: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) מ-NUS CuriOSity ו-P1umer (@p1umer) מ-Imperial Global Singapore
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab
הכרה נוספת
Audio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
CoreAudio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
Files
אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.
Guest User
אנחנו מבקשים להודות ל-Jake Derouin על הסיוע.
iCloud
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-George Kovaios ול-Srijan Poudel על הסיוע.
הרשומה נוספה ב‑16 במאי 2025
Passwords
אנחנו מבקשים להודות ל-Talal Haj Bakry ול-Tommy Mysk מ-Mysk Inc. @mysk_co על הסיוע.
Static Linker
אנחנו מבקשים להודות ל-Holger Fuhrmannek על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.