Informacije o sigurnosnom sadržaju sustava visionOS 2.3.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 2.3

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadač u lokalnoj mreži mogao je oštetiti procesnu memoriju

Opis: riješen je problem s provjerom valjanosti unosa.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadač na lokalnoj mreži može izazvati oštećenje procesne memorije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin (Sveučilište Zhejiang)

CoreAudio

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24160: Googleov tim Threat Analysis Group

CVE-2025-24161: Googleov tim Threat Analysis Group

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24123: Desmond i inicijativa Zero Day (Trend Micro)

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 17.2.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24085

CoreMedia Playback

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) i Lee Dong Ha (Who4mI)

Display

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2025-24111: Wang Yu (Cyberserval)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

libxslt

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-55549: Ivan Fratric (Google Project Zero)

CVE-2025-24855: Ivan Fratric (Google Project Zero)

PackageKit

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-31262: Mickey Jin (@patch1t)

Safari

Dostupno za: Apple Vision Pro

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-24113: @RenwaX23

SceneKit

Dostupno za: Apple Vision Pro

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-24149: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

WebContentFilter

Dostupno za: Apple Vision Pro

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24154: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24189: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem je riješen poboljšanjem ograničenja pristupa datotečnom sustavu.

CVE-2025-24143: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) i P1umer (@p1umer) (Imperial Global Singapore)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24162: linjy (HKUS3Lab) i chluo (WHUSecLab)

Dodatna zahvala

Audio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreAudio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

Files

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Guest User

Na pomoći zahvaljujemo Jakeu Derouinu.

iCloud

Željeli bismo zahvaliti Abhayu Kailasii (@abhay_kailasia) s Tehnološkog fakulteta Lakshmi Narain u Bhopalu u Indiji, Georgeu Kovaiosu i Srijanu Poudelu na njihovoj pomoći.

Passwords

Na pomoći zahvaljujemo Talalu Haj Bakryju i Tommyju Mysku (Mysk Inc. @mysk_co).

Static Linker

Na pomoći zahvaljujemo Holgeru Fuhrmanneku.