מידע על תוכן האבטחה של visionOS 2.4
המסמך מתאר את תוכן האבטחה של visionOS 2.4.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 2.4
הופץ ב-31 במרץ 2025
Accounts
זמין עבור: Apple Vision Pro
השפעה: נתוני צרור מפתחות רגישים עשויים להיות נגישים דרך גיבוי iOS
תיאור: בעיה זו טופלה באמצעות הגבלת גישה משופרת לנתונים.
CVE-2025-24221: Lehan Dilusha (@zafer) וחוקר אנונימי
הרשומה עודכנה ב-28 במאי 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.
CVE-2025-31202: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: משתמש לא מאומת באותה רשת שאליה מחובר Mac יכול לשלוח אליו פקודות AirPlay מבלי שבוצע קישור
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2025-24271: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2025-24270: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח להשחית זיכרון תהליך
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-24252: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח לעקוף מדיניות אימות
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2025-24206: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
AirPlay
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-30445: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
Audio
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לעקוף את ASLR
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43205: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב‑29 ביולי 2025
Audio
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24243: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Authentication Services
זמין עבור: Apple Vision Pro
השפעה: מילוי אוטומטי של סיסמאות עלול למלא סיסמאות לאחר כישלון באימות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-30430: Dominik Rath
Authentication Services
זמין עבור: Apple Vision Pro
השפעה: אתר אינטרנט זדוני עלול להצליח לדרוש אישורי WebAuthn מאתר אינטרנט אחר שמשתף סיומת ניתנת לרישום
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
CVE-2025-24180: Martin Kreichgauer מ-Google Chrome
BiometricKit
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
הרשומה עודכנה ב-28 במאי 2025
Calendar
זמין עבור: Apple Vision Pro
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
זמין עבור: Apple Vision Pro
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
זמין עבור: Apple Vision Pro
השפעה: הפעלת קובץ שמע זדוני עלולה להוביל לסיום בלתי צפוי של יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24230: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreGraphics
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-31196: wac ביחד עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-28 במאי 2025
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיה זו טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24211: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24190: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreText
זמין עבור: Apple Vision Pro
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24182: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreUtils
זמין עבור: Apple Vision Pro
השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2025-31203: Uri Katz (Oligo Security)
הרשומה נוספה ב-28 באפריל 2025
curl
זמין עבור: Apple Vision Pro
השפעה: טופלה בעיה באימות קלט
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-9681
Focus
זמין עבור: Apple Vision Pro
השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-30439: Andr.Ess
Focus
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה על ידי טיהור הרישום
CVE-2025-30447: LFY@secsys מאוניברסיטת פודן
ImageIO
זמין עבור: Apple Vision Pro
השפעה: ניתוח תמונה עלול להוביל לחשיפת מידע של משתמש
תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.
CVE-2025-24210: אנונימי בעבודה עם Trend Micro Zero Day Initiative
IOGPUFamily
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-24257: Wang Yu מ-Cyberserval
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להצליח לנסות להזין קודי גישה במכשיר נעול ולגרום בכך לעיכובי זמן הולכים וגדלים לאחר ארבעה ניסיונות כושלים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol
libarchive
זמין עבור: Apple Vision Pro
השפעה: טופלה בעיה באימות קלט
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-48958
libnetcore
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-24194: חוקר אנונימי
libxml2
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2025-31182: Alex Radocea ו-Dave G. מ-Supernetworks, 风沐云烟(@binary_fmyy) ו-Minghao Lin(@Y1nKoc)
Logging
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית התחברות טופלה באמצעות צנזור משופר של נתונים.
CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) מ-Microsoft, Alexia Wilson מ-Microsoft, Christine Fossaceca מ-Microsoft
הרשומה נוספה ב-28 במאי 2025
Maps
זמין עבור: Apple Vision Pro
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2025-30470: LFY@secsys מאוניברסיטת פודן
NetworkExtension
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2025-30426: Jimmy
Power Services
זמין עבור: Apple Vision Pro
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2025-24173: Mickey Jin (@patch1t)
RepairKit
זמין עבור: Apple Vision Pro
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2025-24095: Mickey Jin (@patch1t)
Safari
זמין עבור: Apple Vision Pro
השפעה: ייתכן שאתר יוכל לעקוף את מדיניות 'אותו המקור'
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
הרשומה נוספה ב-28 במאי 2025
Safari
זמין עבור: Apple Vision Pro
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות ממשק משתמש משופר.
CVE-2025-24113: @RenwaX23
Security
זמין עבור: Apple Vision Pro
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2025-30471: Bing Shi, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, Luyi Xing מ-Indiana University Bloomington
Share Sheet
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להצליח לדחות את עדכון המערכת במסך הנעילה לגבי התחלת הקלטה
תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
זמין עבור: Apple Vision Pro
השפעה: קיצור עלול להצליח לגשת לקבצים שאינם ניתנים לגישה בדרך כלל ליישום 'קיצורים'
תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.
CVE-2025-30433: Andrew James Gonzalez
Siri
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות ביטול הרישום ביומן של תוכן שדות טקסט.
CVE-2025-24214: Kirin (@Pwnrin)
Web Extensions
זמין עבור: Apple Vision Pro
השפעה: יישום עלול לקבל גישה לא מורשית לרשת מקומית
תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt ו-Mathy Vanhoef (@vanhoefm) ו-Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
זמין עבור: Apple Vision Pro
השפעה: ביקור באתר אינטרנט עלול להדליף נתונים רגישים
תיאור: בעיית ייבוא של קובצי Script טופלה באמצעות בידוד משופר.
CVE-2025-24192: Vsevolod Kokorin (Slonser) מ-Solidlab
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong וחוקר אנונימי
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker מ-ParagonERP
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
הכרה נוספת
Accessibility
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-Richard Hyunho Im (@richeeta) יחד עם routezero.security על הסיוע.
AirPlay
אנחנו מבקשים להודות ל-Uri Katz (Oligo Security) על הסיוע.
הרשומה נוספה ב-28 באפריל 2025
Apple Account
אנחנו מבקשים להודות ל-Byron Fecho על הסיוע.
FaceTime
אנחנו מבקשים להודות לאנונימי, ל-Dohyun Lee (@l33d0hyun) מ-USELab, Korea University ול-Youngho Choi מ-CEL, Korea University ול-Geumhwan Cho מ-USELab, Korea University על הסיוע.
Find My
אנחנו מבקשים להודות ל-神罚 (@Pwnrin) על הסיוע.
Foundation
אנחנו מבקשים להודות ל-Jann Horn מ-Google Project Zero על הסיוע.
HearingCore
אנחנו מבקשים להודות ל- Kirin@Pwnrin ול-LFY@secsys מאוניברסיטת פודן על הסיוע.
ImageIO
אנחנו מבקשים להודות ל-D4m0n על הסיוע.
אנחנו מבקשים להודות ל-Doria Tang, ל-Ka Lok Wu ול-Prof. Sze Yiu Chau מ-The Chinese University of Hong Kong על הסיוע.
Messages
אנחנו מבקשים להודות ל-parkminchan מאוניברסיטת קוריאה על הסיוע.
Photos
אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.
Safari Extensions
אנחנו מבקשים להודות ל-Alisha Ukani, ל-Pete Snyder ול-Alex C. Snoeren על הסיוע.
Sandbox Profiles
אנחנו מבקשים להודות ל-Benjamin Hornbeck על הסיוע.
SceneKit
אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer. nat. על הסיוע.
Security
אנחנו מבקשים להודות ל-Kevin Jones (GitHub) על הסיוע.
Settings
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Wai Kin Wong, ל-Dongwei Xiao, ל-Shuai Wang ול-Daoyuan Wu מ-HKUST Cybersecurity Lab, ל-Anthony Lai (@darkfloyd1014) מ-VXRL, ל-Wong Wai Kin, ל-Dongwei Xiao ול-Shuai Wang מ-HKUST Cybersecurity Lab, ל-Anthony Lai (@darkfloyd1014) מ-VXRL., ל-Xiangwei Zhang מ-Tencent Security YUNDING LAB ולחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.