A visionOS 2.4 biztonsági változásjegyzéke
Ez a dokumentum a visionOS 2.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
visionOS 2.4
Kiadás dátuma: 2025. március 31.
Accounts
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Érzékeny kulcskarikaadatokhoz férhettek hozzá iOS biztonsági mentésből.
Leírás: Hatékonyabb adathozzáférési korlátozással hárítottuk el a problémát.
CVE-2025-24221: Lehan Dilusha (@zafer) és egy anonim kutató
Bejegyzés frissítve: 2025. május 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2025-31202: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egy olyan hálózaton, amelyre egy bejelentkezett Mac is csatlakozik, nem hitelesített felhasználók párosítás nélkül küldhettek AirPlay-parancsokat.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2025-24271: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók ki tudtak szivárogtatni bizalmas jellegű információkat a helyi hálózaton.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2025-24270: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.
CVE-2025-24252: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók megkerülhették a hitelesítési szabályzatokat a helyi hálózaton.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2025-24206: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
AirPlay
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
CVE-2025-30445: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
Audio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Bejegyzés hozzáadva: 2025. július 29.
Audio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Authentication Services
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az automatikus jelszókitöltő funkció időnként kitöltötte a jelszót, miután sikertelen volt a hitelesítés
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-30430: Dominik Rath
Authentication Services
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordulhatott, hogy egy rosszindulatú webhely képes volt WebAuthn hitelesítő adatokat igényelni egy másol webhelytől, amely regisztrálható utótagot oszt meg.
Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.
CVE-2025-24180: Martin Kreichgauer (Google Chrome)
BiometricKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Bejegyzés frissítve: 2025. május 28.
Calendar
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-31196: wac a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2025. május 28.
CoreMedia
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24211: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative
CoreMedia
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreText
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreUtils
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2025-31203: Uri Katz (Oligo Security)
Bejegyzés hozzáadva: 2025. április 28.
curl
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-9681
Focus
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-30439: Andr.Ess
Focus
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: A naplózás megtisztításával orvosoltuk a problémát
CVE-2025-30447: LFY@secsys (Fudan University)
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.
CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként
IOGPUFamily
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2025-24257: Wang Yu (Cyberserval)
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol
libarchive
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-48958
libnetcore
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-24194: anonim kutató
libxml2
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-27113
CVE-2024-56171
libxpc
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2025-31182: Alex Radocea és Dave G. (Supernetworks), 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)
Logging
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Továbbfejlesztett adatkitakarással megoldottuk a naplózási problémát.
CVE-2025-31199: Jonathan Bar vagy (@yo_yo_yo_jbo, Microsoft), Alexia Wilson (Microsoft), Christine Fossaceca (Microsoft)
Bejegyzés hozzáadva: 2025. május 28.
Maps
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.
CVE-2025-30470: LFY@secsys (Fudan University)
NetworkExtension
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-30426: Jimmy
Power Services
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-24173: Mickey Jin (@patch1t)
RepairKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-24095: Mickey Jin (@patch1t)
Safari
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes webhelyek megkerülhetik a Same Origin szabályzatot.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Bejegyzés hozzáadva: 2025. május 28.
Safari
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület
Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.
CVE-2025-24113: @RenwaX23
Security
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)
Share Sheet
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést
Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy egy billentyűparanccsal hozzá lehetett férni olyan fájlokhoz, amelyek normál esetben nem érhetők el a Parancsok appal
Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.
CVE-2025-30433: Andrew James Gonzalez
Siri
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Az adatvédelmi problémát úgy küszöböltük ki, hogy a továbbiakban nem naplózzuk a szöveges mezők tartalmát.
CVE-2025-24214: Kirin (@Pwnrin)
Web Extensions
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a helyi hálózathoz.
Leírás: A jogosultságok ellenőrzésének továbbfejlesztésével elhárítottuk a problémát.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt és Mathy Vanhoef (@vanhoefm), Jeroen Robben (@RobbenJeroen, DistriNet, KU Leuven)
Web Extensions
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.
Leírás: Hatékonyabb elkülönítéssel hárítottunk el egy szkriptimportálási hibát.
CVE-2025-24192: Vsevolod Kokorin (Slonser, Solidlab)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong és egy anonim kutató
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker (ParagonERP)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy use-after-free (UAF) problémát.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
További köszönetnyilvánítás
Accessibility
Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), Richard Hyunho Im (@richeeta, routezero.security) segítségét.
AirPlay
Köszönjük Uri Katz (Oligo Security) segítségét.
Bejegyzés hozzáadva: 2025. április 28.
Apple Account
Köszönjük Byron Fecho segítségét.
FaceTime
Köszönjük Anonymous, Dohyun Lee (@l33d0hyun), USELab, Korea University; Youngho Choi, CEL, Korea University; Geumhwan Cho, USELab, Korea University segítségét.
Find My
Köszönjük 神罚 (@Pwnrin) segítségét.
Foundation
Köszönjük Jann Horn (Google Project Zero) segítségét.
HearingCore
Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University) segítségét.
ImageIO
Köszönjük D4m0n segítségét.
Köszönjük Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau (The Chinese University of Hong Kong) segítségét.
Messages
Köszönjük parkminchan (Korea Univ.) segítségét.
Photos
Köszönjük Bistrit Dahal segítségét.
Safari Extensions
Köszönjük Alisha Ukani, Pete Snyder és Alex C. Snoeren segítségét.
Sandbox Profiles
Köszönjük Benjamin Hornbeck segítségét.
SceneKit
Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét.
Security
Köszönjük Kevin Jones (GitHub) segítségét.
Settings
Köszönjük Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India) segítségét.
Shortcuts
Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.
WebKit
Köszönjük Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014) of VXRL, Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014, VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB) és egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.