Informazioni sui contenuti di sicurezza di visionOS 2.4

In questo documento vengono descritti i contenuti di sicurezza di visionOS 2.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

visionOS 2.4

Account

Disponibile per: Apple Vision Pro

Impatto: un backup di iOS potrebbe accedere ai dati sensibili di un portachiavi.

Descrizione: questo problema è stato risolto attraverso una maggiore restrizione dell'accesso ai dati.

CVE-2025-24221: Lehan Dilusha (@zafer) e un ricercatore anonimo

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente non autenticato sulla stessa rete di un Mac con sessione attiva potrebbe inviargli comandi AirPlay senza abbinamento.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato in una posizione nella rete locale potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe corrompere la memoria dei processi.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe aggirare la politica di autenticazione.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple Vision Pro

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe ignorare ASLR.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43205: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Audio

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Authentication Services

Disponibile per: Apple Vision Pro

Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponibile per: Apple Vision Pro

Impatto: un sito web dannoso potrebbe richiedere le credenziali WebAuthn a un altro sito web che condivide un suffisso registrabile.

Descrizione: il problema è stato risolto con una migliore convalida dell'input.

CVE-2025-24180: Martin Kreichgauer di Google Chrome

BiometricKit

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibile per: Apple Vision Pro

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24163: Threat Analysis Group di Google

CoreAudio

Disponibile per: Apple Vision Pro

Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'app.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24230: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreGraphics

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31196: wac in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: questo problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24211: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreText

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24182: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreUtils

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibile per: Apple Vision Pro

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-9681

Full immersion

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-30439: Andr.Ess

Full immersion

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto ripulendo i log

CVE-2025-30447: LFY@secsys dell'Università Fudan

ImageIO

Disponibile per: Apple Vision Pro

Impatto: l'analisi di un'immagine potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2025-24210: anonimo in collaborazione con Zero Day Initiative di Trend Micro

IOGPUFamily

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24257: Wang Yu di Cyberserval

Kernel

Disponibile per: Apple Vision Pro

Impatto: un'app dannosa potrebbe tentare di accedere ai codici su un dispositivo bloccato e causare l'escalation di ritardi temporali dopo 4 tentativi non andati a buon fine.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibile per: Apple Vision Pro

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-48958

libnetcore

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24194: un ricercatore anonimo

libxml2

Disponibile per: Apple Vision Pro

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe eliminare file per i quali non dispone di autorizzazione

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2025-31182: Alex Radocea e Dave G. di Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)

Logging

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) di Microsoft, Alexia Wilson di Microsoft, Christine Fossaceca di Microsoft

Maps

Disponibile per: Apple Vision Pro

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2025-30470: LFY@secsys dell'Università Fudan

NetworkExtension

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-30426: Jimmy

Power Services

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Disponibile per: Apple Vision Pro

Impatto: un sito web potrebbe essere in grado di bypassare la Same Origin Policy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Disponibile per: Apple Vision Pro

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.

CVE-2025-24113: @RenwaX23

Security

Disponibile per: Apple Vision Pro

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai di Alibaba Group, Luyi Xing dell'Indiana University Bloomington

Share Sheet

Disponibile per: Apple Vision Pro

Impatto: un'app dannosa potrebbe ignorare la notifica del sistema sulla schermata di blocco in cui è stata avviata una registrazione.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponibile per: Apple Vision Pro

Impatto: un comando rapido potrebbe accedere a file che sono normalmente inaccessibili per l'app Comandi rapidi.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di privacy è stato risolto non registrando i contenuti nei campi di testo.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe ottenere l'accesso non autorizzato alla rete locale.

Descrizione: il problema è stato risolto con un migliore controllo delle autorizzazioni.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) e Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Disponibile per: Apple Vision Pro

Impatto: l'accesso a un sito web potrebbe causare la perdita di dati sensibili.

Descrizione: un problema di importazione degli script è stato risolto con un isolamento migliore.

CVE-2025-24192: Vsevolod Kokorin (Slonser) di Solidlab

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24264: Gary Kwong e un ricercatore anonimo

CVE-2025-24216: Paul Bakker di ParagonERP

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-30427: rheza (@ginggilBesel)

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) con routezero.security per l'assistenza.

AirPlay

Ringraziamo Uri Katz (Oligo Security) per l'assistenza.

Apple Account

Ringraziamo Byron Fecho per l'assistenza.

FaceTime

Ringraziamo Anonimo, Dohyun Lee (@l33d0hyun) di USELab, Korea University, Youngho Choi di CEL, Korea University e Geumhwan Cho di USELab, Korea University per l'assistenza.

Find My

Ringraziamo 神罚(@Pwnrin) per l'assistenza.

Foundation

Vorremmo ringraziare Jann Horn di Google Project Zero per l'assistenza.

HearingCore

Ringraziamo Kirin@Pwnrin e LFY@secsys dell'Università Fudan per l'assistenza.

ImageIO

Ringraziamo D4m0n per l'assistenza.

Mail

Ringraziamo Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau della Chinese University di Hong Kong per l'assistenza.

Messages

Ringraziamo parkminchan della Korea Univ. per l'assistenza.

Photos

Ringraziamo Bistrit Dahal per l'assistenza.

Safari Extensions

Ringraziamo Alisha Ukani, Pete Snyder, Alex C. Snoeren per l'assistenza.

Sandbox Profiles

Ringraziamo Benjamin Hornbeck per l'assistenza.

SceneKit

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

Security

Ringraziamo Kevin Jones (GitHub) per l'assistenza.

Settings

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal di C-DAC Thiruvananthapuram India per l'assistenza.

Shortcuts

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

WebKit

Ringraziamo Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu dell'HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) di VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang dell'HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) di VXRL., Xiangwei Zhang del Tencent Security YUNDING LAB e un ricercatore anonimo per l'assistenza.