Informacije o sigurnosnom sadržaju sustava visionOS 2.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 2.5

AppleJPEG

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31251: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Core Bluetooth

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31212: Guilherme Rambo (Best Buddy Apps (rambo.codes))

CoreAudio

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31208: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: Apple Vision Pro

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-31209: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31239: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31233: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

iCloud Document Sharing

Dostupno za: Apple Vision Pro

Učinak: napadač bi mogao uključiti dijeljenje mape iCloud bez autentifikacije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-30448: Dayton Pidhirney (Atredis Partners), Lyutoon i YenKoc

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-31226: Saagar Jha

Kernel

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač možda bi mogao uzrokovati neočekivano isključivanje sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) iz inicijative Zero Day (Trend Micro)

Kernel

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupno za: Apple Vision Pro

Učinak: više problema koji se odnose na libexpat, uključujući neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-8176

mDNSResponder

Dostupno za: Apple Vision Pro

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s točnošću riješen je poboljšanim provjerama.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31245: wac

Pro Res

Dostupno za: Apple Vision Pro

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanom sanitizacijom ulaznih podataka.

CVE-2025-31234: CertiK (@CertiK)

Security

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31221: Dave G.

WebKit

Dostupno za: Apple Vision Pro

Učinak: problem sa zamjenom vrsta mogao je dovesti do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem vrijednostima s plutajućim zarezom.

CVE-2025-24213: tim za sigurnost Google V8

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31223: Andreas Jaegersberger i Ro Achterberg (Nosebeard Labs)

CVE-2025-31238: wac i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24223: rheza (@ginggilBesel) i anonimni istraživač

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31215: Jiming Wang i Jikai Ren

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2025-31206: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-31205: Ivan Fratric (Google Project Zero)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-31257: Juergen Schmied (Lynck GmbH)

Dodatna zahvala

AirDrop

Na pomoći zahvaljujemo Daliboru Milanoviću.

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

libnetcore

Na pomoći zahvaljujemo Hoffconi iz tima ByteDance IES Red.

MobileGestalt

Na pomoći zahvaljujemo iisBuriju.

NetworkExtension

Na pomoći zahvaljujemo korisniku Andrei-Alexandru Bleorțu.

Safari

Na pomoći zahvaljujemo korisnicima Akash Labade, Narendra Bhati, voditelju kibernetičke sigurnosti u Suma Softu Pvt. Ltd, Pune (India) na pomoći.

Shortcuts

Na pomoći zahvaljujemo korisnicima Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART), taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud.

WebKit

Na pomoći zahvaljujemo Mikeu Doughertyju i Danielu Whiteu (Google Chrome) te anonimnom istraživaču.