Informacije o sigurnosnom sadržaju sustava visionOS 2.4.
U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 2.4
Izdano 31. ožujka 2025.
Accounts
Dostupno za: Apple Vision Pro
Učinak: osjetljivim podacima privjeska ključeva moglo se pristupiti putem sigurnosne kopije sustava iOS
Opis: problem je riješen poboljšanim ograničenjima pristupa podacima.
CVE-2025-24221: Lehan Dilusha (@zafer) i anonimni istraživač
Unos ažuriran 28. svibnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2025-31202: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: udaljeni korisnik neprovjerene autentičnosti u istoj mreži kao prijavljeno Mac računalo mogao je slati AirPlay naredbe bez uparivanja
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2025-24271: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadači u lokalnoj mreži mogli su otkriti povjerljive korisničke podatke
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2025-24270: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je oštetiti procesnu memoriju
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2025-24252: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je zaobići pravila o provjeri autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2025-24206: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
AirPlay
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2025-30445: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
Audio
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla zaobići ASLR
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2025-43205: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
Unos je dodan 29. srpnja 2025.
Audio
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-24243: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
Authentication Services
Dostupno za: Apple Vision Pro
Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-30430: Dominik Rath
Authentication Services
Dostupno za: Apple Vision Pro
Učinak: neko zlonamjerno web-mjesto moglo je zatražiti podatke za provjeru autentičnosti WebAuthn s nekog drugog web-mjesta s istim nastavkom koji se može registrirati
Opis: problem je riješen poboljšanom provjerom ulaznih podataka.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
BiometricKit
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Unos ažuriran 28. svibnja 2025.
Calendar
Dostupno za: Apple Vision Pro
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Dostupno za: Apple Vision Pro
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Dostupno za: Apple Vision Pro
Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-24163: Googleov tim Threat Analysis Group
CoreAudio
Dostupno za: Apple Vision Pro
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-24230: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CoreGraphics
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-31196: wac i inicijativa Zero Day (Trend Micro)
Unos je dodan 28. svibnja 2025.
CoreMedia
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-24211: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CoreMedia
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2025-24190: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CoreText
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-24182: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CoreUtils
Dostupno za: Apple Vision Pro
Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-31203: Uri Katz (Oligo Security)
Unos dodan 28. travnja 2025.
curl
Dostupno za: Apple Vision Pro
Učinak: riješen je problem s provjerom valjanosti unosa
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-9681
Focus
Dostupno za: Apple Vision Pro
Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke
Opis: problem je riješen poboljšanim provjerama.
CVE-2025-30439: Andr.Ess
Focus
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen čišćenjem zapisnika
CVE-2025-30447: LFY@secsys (Sveučilište Fudan)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: parsiranjem slike može doći do otkrivanja korisničkih podataka
Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.
CVE-2025-24210: anonimni istraživač i inicijativa Zero Day (Trend Micro)
IOGPUFamily
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2025-24257: Wang Yu (Cyberserval)
Kernel
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna bi aplikacija mogla pokušati unositi šifru ili zaključati uređaj i tako uzrokovati vremenske odgode nakon 4 neuspjela pokušaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol
libarchive
Dostupno za: Apple Vision Pro
Učinak: riješen je problem s provjerom valjanosti unosa
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-48958
libnetcore
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2025-24194: anonimni istraživač
libxml2
Dostupno za: Apple Vision Pro
Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2025-31182: Alex Radocea i Dave G. (Supernetworks, 风沐云烟(@binary_fmyy)) i Minghao Lin(@Y1nKoc)
Logging
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.
CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) (Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)
Unos je dodan 28. svibnja 2025.
Maps
Dostupno za: Apple Vision Pro
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom logikom.
CVE-2025-30470: LFY@secsys (Sveučilište Fudan)
NetworkExtension
Dostupno za: Apple Vision Pro
Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2025-30426: Jimmy
Power Services
Dostupno za: Apple Vision Pro
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2025-24173: Mickey Jin (@patch1t)
RepairKit
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.
CVE-2025-24095: Mickey Jin (@patch1t)
Safari
Dostupno za: Apple Vision Pro
Učinak: web-mjesto može zaobići pravilo istog podrijetla
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Unos je dodan 28. svibnja 2025.
Safari
Dostupno za: Apple Vision Pro
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem je riješen poboljšanim korisničkim sučeljem.
CVE-2025-24113: @RenwaX23
Security
Dostupno za: Apple Vision Pro
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)
Share Sheet
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna aplikacija mogla bi odbaciti obavijesti sustava na zaključanom zaslonu na kojem je pokrenuto snimanje
Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
Dostupno za: Apple Vision Pro
Učinak: prečac bi mogao pristupati datotekama koje obično nisu dostupne aplikaciji Prečaci
Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.
CVE-2025-30433: Andrew James Gonzalez
Siri
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnošću riješen je nezapisivanjem sadržaja tekstualnih polja.
CVE-2025-24214: Kirin (@Pwnrin)
Web Extensions
Dostupno za: Apple Vision Pro
Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži
Opis: problem je riješen boljom provjerom dozvola.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt i Mathy Vanhoef (@vanhoefm) te Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Dostupno za: Apple Vision Pro
Učinak: posjetom web-mjestu mogli su procuriti osjetljivi podaci
Opis: problem s uvozom skripti riješen je poboljšanom izolacijom.
CVE-2025-24192: Vsevolod Kokorin (Slonser) (Solidlab)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong i anonimni istraživač
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
Dodatna zahvala
Accessibility
Na pomoći zahvaljujemo Abhayu Kailasiju(@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal Indija, Richard Hyunho Im (@richeeta) zajedno sa routezero.security.
AirPlay
Na pomoći zahvaljujemo korisnicima Uriju Katzu (Oligo Security)
Unos dodan 28. travnja 2025.
Apple Account
Na pomoći zahvaljujemo Byronu Fechou.
FaceTime
Na pomoći zahvaljujemo anonimnom istraživaču, Dohyunu Leeju (@l33d0hyun) (USELab, Korea University) i Younghou Choiju (CEL, Korea University) i Geumhwanu Chou (USELab, Korea University).
Find My
Na pomoći zahvaljujemo korisniku 神罚(@Pwnrin).
Foundation
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.
HearingCore
Na pomoći zahvaljujemo korisnicima Kirin@Pwnrin i LFY@secsys sa Sveučilišta Fudan.
ImageIO
Na pomoći zahvaljujemo korisniku D4m0n.
Na pomoći zahvaljujemo korisnicima: Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (s Kineskog Sveučilišta u Hong Kongu).
Messages
Na pomoći zahvaljujemo korisniku parkminchan s Korejskog Sveučilišta. na pomoći.
Photos
Na pomoći zahvaljujemo Bistritu Dahalu.
Safari Extensions
Na pomoći zahvaljujemo Alishi Ukaniju, Peteu Snyderu, Alexu C. Snoerenu.
Sandbox Profiles
Na pomoći zahvaljujemo Benjaminu Hornbecku.
SceneKit
Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.
Security
Na pomoći zahvaljujemo Kevinu Jonesu (GitHub).
Settings
Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (C-DAC, Thiruvananthapuram, Indija).
Shortcuts
Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.
WebKit
Na pomoći zahvaljujemo korisnicima: Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014) (VXRL), Wong Wai Kin, Dongwei Xiao i Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014) (VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB) i anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.