A visionOS 2.6 biztonsági változásjegyzéke
Ez a dokumentum a visionOS 2.6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
visionOS 2.6
Kiadási dátum: 2025. július 29.
afclip
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CFNetwork
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
CoreAudio
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor memóriasérülés történt.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-43277: Google Threat Analysis Group
CoreMedia
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia Playback
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2025-43230: Chi Yuan Chang (ZUSO ART) és taikosoup
ICU
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43209: Gary Kwong (a Trend Micro Zero Day Initiative közreműködőjeként)
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-43226
libxml2
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy a fájlok feldolgozásakor memóriasérülés történt.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.
CVE-2025-7425: Sergei Glazunov (Google Project Zero)
libxslt
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-7424: Ivan Fratric (Google Project Zero)
Metal
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2025-43234: Vlad Stolyarov (Google Threat Analysis Group)
Model I/O
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43224: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2025-43221: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Model I/O
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2025-31281: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri (a Trend Micro Zero Day Initiative közreműködőjeként, Google V8 Security Team)
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) és Ziling Chen
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t, a DEVCORE Research Team tagja)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)
További köszönetnyilvánítás
Bluetooth
Köszönjük LIdong LI, Xiao Wang, Shao Dong Chen és Chao Tan (Source Guard) segítségét.
CoreAudio
Köszönjük Noah Weinberg segítségét.
Device Management
Köszönjük Al Karak segítségét.
libxml2
Köszönjük Sergei Glazunov (Google Project Zero) segítségét.
libxslt
Köszönjük Ivan Fratric (Google Project Zero) segítségét.
Shortcuts
Köszönjük Dennis Kniep segítségét.
WebKit
Köszönjük a Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei, valamint rheza (@ginggilBesel) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.