A visionOS 2.4 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 2.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 2.4

Accounts

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Érzékeny kulcskarikaadatokhoz férhettek hozzá iOS biztonsági mentésből.

Leírás: Hatékonyabb adathozzáférési korlátozással hárítottuk el a problémát.

CVE-2025-24221: Lehan Dilusha (@zafer) és egy anonim kutató

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy olyan hálózaton, amelyre egy bejelentkezett Mac is csatlakozik, nem hitelesített felhasználók párosítás nélkül küldhettek AirPlay-parancsokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók ki tudtak szivárogtatni bizalmas jellegű információkat a helyi hálózaton.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók megkerülhették a hitelesítési szabályzatokat a helyi hálózaton.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Authentication Services

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az automatikus jelszókitöltő funkció időnként kitöltötte a jelszót, miután sikertelen volt a hitelesítés

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30430: Dominik Rath

Authentication Services

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2025-24180: Martin Kreichgauer (Google Chrome)

BiometricKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-31196: wac a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24211: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CoreMedia

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreText

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9681

Focus

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-30439: Andr.Ess

Focus

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplózás megtisztításával orvosoltuk a problémát

CVE-2025-30447: LFY@secsys (Fudan University)

ImageIO

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

IOGPUFamily

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24257: Wang Yu (Cyberserval)

Kernel

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-48958

libnetcore

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24194: anonim kutató

libxml2

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-27113

CVE-2024-56171

libxpc

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31182: Alex Radocea és Dave G. (Supernetworks), 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

Logging

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.

CVE-2025-31199: Jonathan Bar vagy (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)

Maps

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30470: LFY@secsys (Fudan University)

NetworkExtension

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30426: Jimmy

Power Services

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes webhelyek megkerülhetik a Same Origin szabályzatot.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

Security

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30433: Andrew James Gonzalez

Siri

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi problémát úgy küszöböltük ki, hogy a továbbiakban nem naplózzuk a szöveges mezők tartalmát.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.

Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt és Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)

Web Extensions

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Hatékonyabb elkülönítéssel hárítottunk el egy szkriptimportálási hibát.

CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24264: Gary Kwong és egy anonim kutató

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.

CVE-2025-30427: rheza (@ginggilBesel)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), Richard Hyunho Im (@richeeta, routezero.security) segítségét.

AirPlay

Köszönjük Uri Katz (Oligo Security) segítségét.

Apple Account

Köszönjük Byron Fecho segítségét.

FaceTime

Köszönjük Anonymous, Dohyun Lee (@l33d0hyun), USELab, Korea University; Youngho Choi, CEL, Korea University; Geumhwan Cho, USELab, Korea University segítségét.

Find My

Köszönjük 神罚 (@Pwnrin) segítségét.

Foundation

Köszönjük Jann Horn (Google Project Zero) segítségét.

HearingCore

Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University) segítségét.

ImageIO

Köszönjük D4m0n segítségét.

Mail

Köszönjük Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (The Chinese University of Hong Kong) segítségét.

Messages

Köszönjük parkminchan (Korea Univ.) segítségét.

Photos

Köszönjük Bistrit Dahal segítségét.

Safari Extensions

Köszönjük Alisha Ukani, Pete Snyder és Alex C. Snoeren segítségét.

Sandbox Profiles

Köszönjük Benjamin Hornbeck segítségét.

SceneKit

Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét.

Security

Köszönjük Kevin Jones (GitHub) segítségét.

Settings

Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.

Shortcuts

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

WebKit

Köszönjük Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014) of VXRL, Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014, VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB) és egy anonim kutató segítségét.