מידע על תוכן האבטחה של visionOS 2.6

מסמך זה מתאר את תוכן האבטחה של visionOS 2.6.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

visionOS 2.6

afclip

זמין עבור: Apple Vision Pro

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43186‏: Hossein Lotfi ‏(‎@hosselot) מ-Trend Micro Zero Day Initiative

CFNetwork

זמין עבור: Apple Vision Pro

השפעה: משתמש ללא הרשאות עלול להצליח לשנות הגדרות רשת מוגבלות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2025-43223: ‏Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs

CoreAudio

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43277: ‏Google Threat Analysis Group

CoreMedia

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43210‏: Hossein Lotfi ‏(‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia Playback

זמין עבור: Apple Vision Pro

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2025-43230: ‏Chi Yuan Chang מ-ZUSO ART ו-taikosoup

ICU

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43209: ‏wac ביחד עם Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple Vision Pro

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43226

libxml2

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-7425‏: Sergei Glazunov מ-Google Project Zero

libxslt

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-7424: ‏Ivan Fratric מ-Google Project Zero

Metal

זמין עבור: Apple Vision Pro

השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2025-43234: ‏Vlad Stolyarov מ-Google's Threat Analysis Group

Model I/O

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43224: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2025-43221: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

Model I/O

זמין עבור: Apple Vision Pro

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-31281: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-43227‏: Gilad Moav

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-31278: ‏Yuhao Hu, ‏Yan Kang, ‏Chenggang Wu ו-Xiaojie Wei

CVE-2025-31277: ‏Yuhao Hu, ‏Yan Kang, ‏Chenggang Wu ו-Xiaojie Wei

CVE-2025-31273: ‏Yuhao Hu, ‏Yan Kang, ‏Chenggang Wu ו-Xiaojie Wei

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43214: ‏shandikri ביחד עםTrend Micro Zero Day Initiative, ‏Google V8 Security Team

CVE-2025-43213: ‏Google V8 Security Team

CVE-2025-43212: ‏Nan Wang ‏(‎@eternalsakura13) ו-Ziling Chen

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-43211: ‏Yuhao Hu, ‏Yan Kang, ‏Chenggang Wu ו-Xiaojie Wei

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפת המצבים הפנימיים של היישום

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-43265: ‏HexRabbit ‏(‎@h3xr4bb1t) מ-DEVCORE Research Team

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-43216: ‏Ignacio Sanmillan ‏(‎@ulexec)

WebKit

זמין עבור: Apple Vision Pro

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-6558: ‏Clément Lecigne ו-Vlad Stolyarov מ-Google's Threat Analysis Group

הכרה נוספת

Bluetooth

אנחנו רוצים להודות ל-LIdong LI, ‏Xiao Wang, ‏Shao Dong Chen ו-Chao Tan מ-Source Guard על הסיוע.

CoreAudio

אנחנו רוצים להודות ל-Noah Weinberg על הסיוע.

Device Management

אנחנו רוצים להודות ל-Al Karak על הסיוע.

libxml2

אנחנו רוצים להודות ל-Sergei Glazunov מ-Google Project Zero על הסיוע.

libxslt

ברצוננו להודות לאיוון פרטריץ' מ-Google Project Zero על הסיוע.

Shortcuts

אנחנו רוצים להודות ל-Dennis Kniep על הסיוע.

WebKit

אנחנו רוצים להודות ל-Google V8 Security Team, ‏Yuhao Hu, ‏Yan Kang, ‏Chenggang Wu ו-Xiaojie Wei, ‏rheza ‏(‎@ginggilBesel) על הסיוע.