מידע על תוכן האבטחה של visionOS 2.5
מסמך זה מתאר את תוכן האבטחה של visionOS 2.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 2.5
הופץ ב-12 במאי 2025
AppleJPEG
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31251: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Core Bluetooth
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2025-31212: Guilherme Rambo מ-Best Buddy Apps (rambo.codes)
CoreAudio
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-31208: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreGraphics
זמין עבור: Apple Vision Pro
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-31209: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-31239: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31233: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
iCloud Document Sharing
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להיות מסוגל להפעיל שיתוף של תיקיה ב-iCloud ללא אימות
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2025-30448: Dayton Pidhirney מ-Atredis Partners, Lyutoon ו-YenKoc
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2025-31226: Saagar Jha
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24224: Tony Iskow (@Tybbow)
הרשומה נוספה ב-29 ביולי 2025
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-31219: Michael DePlante (@izobashi) ו-Lucas Leong (@_wmliang_) מ-Trend Micro Zero Day Initiative
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.
CVE-2025-31241: Christian Kohlschütter
libexpat
זמין עבור: Apple Vision Pro
השפעה: בעיות מרובות ב-libexpat, כולל סיום בלתי צפוי של פעולת יישום או הפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-8176
mDNSResponder
זמין עבור: Apple Vision Pro
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Pro Res
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-31245: wac
Pro Res
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות סניטציה משופרת של קלט.
CVE-2025-31234: CertiK (@CertiK)
Security
זמין עבור: Apple Vision Pro
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2025-31221: Dave G.
WebKit
זמין עבור: Apple Vision Pro
השפעה: בעיית בלבול בסוגים עלולה להוביל להשחתת זיכרון
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של ערכי Float.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac יחד עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) וחוקר אנונימי
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות אימות משופר של קלט.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang ו-Jikai Ren
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
WebKit Bugzilla: 290834
CVE-2025-31206: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric מ-Google Project Zero
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה זו טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied מ-Lynck GmbH
הכרה נוספת
AirDrop
אנחנו מבקשים להודות ל-Dalibor Milanovic על הסיוע.
Kernel
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libnetcore
אנחנו מבקשים להודות ל-Hoffcona מ-ByteDance IES Red Team על הסיוע.
MobileGestalt
אנחנו מבקשים להודות ל-iisBuri על הסיוע.
NetworkExtension
אנחנו מבקשים להודות ל-Andrei-Alexandru Bleorțu על הסיוע.
Safari
אנחנו מבקשים להודות ל-Akash Labade, Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Candace Jensen מ-Kandji, Chi Yuan Chang מ-ZUSO ART ו-taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Mike Dougherty ו-Daniel White מ-Google Chrome ולחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.