A visionOS 2.5 biztonsági változásjegyzéke
Ez a dokumentum a visionOS 2.5 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
visionOS 2.5
Kiadás dátuma: 2025. május 12.
AppleJPEG
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31251: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Core Bluetooth
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2025-31212: Guilherme Rambo (Best Buddy Apps, rambo.codes)
CoreAudio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31208: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreGraphics
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2025-31209: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31239: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31233: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
iCloud Document Sharing
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy a támadók hitelesítés nélkül be tudták kapcsolni az iCloud-mappa megosztását.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2025-30448: Dayton Pidhirney (Atredis Partners), Lyutoon és YenKoc
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2025-31226: Saagar Jha
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A távoli támadók bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-24224: Tony Iskow (@Tybbow)
Bejegyzés hozzáadva: 2025. július 29.
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-31219: Michael DePlante (@izobashi) és Lucas Leong (@_wmliang_, Trend Micro Zero Day Initiative)
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2025-31241: Christian Kohlschütter
libexpat
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Több probléma a libexpatban, beleértve a váratlan alkalmazásleállást vagy tetszőleges kód végrehajtását.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-8176
mDNSResponder
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Pro Res
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2025-31245: wac
Pro Res
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb beviteltisztítással orvosoltuk a problémát.
CVE-2025-31234: CertiK (@CertiK)
Security
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Távoli támadók képesek lehettek memóriaszivárgások előidézésére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2025-31221: Dave G.
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy egy típustévesztés memóriasérülést idézett elő.
Leírás: A floatok hatékonyabb kezelésével hárítottuk el a problémát.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
WebKit Bugzilla: 289653
CVE-2025-31238: wac a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) és egy anonim kutató
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang és Jikai Ren
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 290834
CVE-2025-31206: anonim kutató
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric (Google Project Zero)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied (Lynck GmbH)
További köszönetnyilvánítás
AirDrop
Köszönjük Dalibor Milanovic segítségét.
Kernel
Köszönjük egy anonim kutató segítségét.
libnetcore
Köszönjük Hoffcona (ByteDance IES Red Team) segítségét.
MobileGestalt
Köszönjük iisBuri segítségét.
NetworkExtension
Köszönjük Andrei-Alexandru Bleorțu segítségét.
Safari
Köszönjük Akash Labade, Narendra Bhati, a Suma Soft Pvt. Ltd. (Pune, India) kiberbiztonsági vezetőjének segítségét.
Shortcuts
Köszönjük Candace Jensen (Kandji), Chi Yuan Chang (ZUSO ART) és taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud segítségét.
WebKit
Köszönjük Mike Dougherty és Daniel White (Google Chrome), valamint egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.