Informazioni sui contenuti di sicurezza di visionOS 2.4
In questo documento vengono descritti i contenuti di sicurezza di visionOS 2.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
visionOS 2.4
Rilasciato il 31 marzo 2025
Account
Disponibile per: Apple Vision Pro
Impatto: un backup di iOS potrebbe accedere ai dati sensibili di un portachiavi.
Descrizione: questo problema è stato risolto attraverso una maggiore restrizione dell'accesso ai dati.
CVE-2025-24221: Lehan Dilusha (@zafer) e un ricercatore anonimo
Voce aggiornata il 28 maggio 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-31202: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente non autenticato sulla stessa rete di un Mac con sessione attiva potrebbe inviargli comandi AirPlay senza abbinamento.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2025-24271: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato in una posizione nella rete locale potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2025-24270: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato collegato sulla rete locale potrebbe corrompere la memoria dei processi.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2025-24252: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato collegato sulla rete locale potrebbe aggirare la politica di autenticazione.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2025-24206: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
CVE-2025-30445: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
Audio
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe ignorare ASLR.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2025-43205: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative
Voce aggiunta il 29 luglio 2025
Audio
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2025-24243: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro
Authentication Services
Disponibile per: Apple Vision Pro
Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2025-30430: Dominik Rath
Authentication Services
Disponibile per: Apple Vision Pro
Impatto: un sito web dannoso potrebbe richiedere le credenziali WebAuthn a un altro sito web che condivide un suffisso registrabile.
Descrizione: il problema è stato risolto con una migliore convalida dell'input.
CVE-2025-24180: Martin Kreichgauer di Google Chrome
BiometricKit
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2025-24237: Yutong Xiu (@Sou1gh0st)
Voce aggiornata il 28 maggio 2025
Calendar
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Calendar
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
CoreAudio
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-24163: Threat Analysis Group di Google
CoreAudio
Disponibile per: Apple Vision Pro
Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'app.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-24230: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro
CoreGraphics
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-31196: wac in collaborazione con Trend Micro Zero Day Initiative
Voce aggiunta il 28 maggio 2025
CoreMedia
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.
Descrizione: questo problema è stato risolto con una migliore gestione della memoria.
CVE-2025-24211: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro
CoreMedia
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2025-24190: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro
CoreText
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-24182: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro
CoreUtils
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-31203: Uri Katz (Oligo Security)
Voce aggiunta il 28 aprile 2025
curl
Disponibile per: Apple Vision Pro
Impatto: è stato risolto un problema di convalida dell'input.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-9681
Full immersion
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-30439: Andr.Ess
Full immersion
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.
Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.
CVE-2025-24283: Kirin (@Pwnrin)
Foundation
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.
Descrizione: il problema è stato risolto ripulendo i log
CVE-2025-30447: LFY@secsys dell'Università Fudan
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un'immagine potrebbe causare la divulgazione delle informazioni utente
Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.
CVE-2025-24210: anonimo in collaborazione con Zero Day Initiative di Trend Micro
IOGPUFamily
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-24257: Wang Yu di Cyberserval
Kernel
Disponibile per: Apple Vision Pro
Impatto: un'app dannosa potrebbe tentare di accedere ai codici su un dispositivo bloccato e causare l'escalation di ritardi temporali dopo 4 tentativi non andati a buon fine.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol
libarchive
Disponibile per: Apple Vision Pro
Impatto: è stato risolto un problema di convalida dell'input.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-48958
libnetcore
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2025-24194: un ricercatore anonimo
libxml2
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2025-27113
CVE-2024-56171
libxpc
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe eliminare file per i quali non dispone di autorizzazione
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2025-31182: Alex Radocea e Dave G. di Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)
Logging
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.
Descrizione: un problema di registrazione è stato risolto con una migliore redazione dei dati.
CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) di Microsoft, Alexia Wilson di Microsoft, Christine Fossaceca di Microsoft
Voce aggiunta il 28 maggio 2025
Maps
Disponibile per: Apple Vision Pro
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.
CVE-2025-30470: LFY@secsys dell'Università Fudan
NetworkExtension
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.
Descrizione: il problema è stato risolto attraverso ulteriori controlli.
CVE-2025-30426: Jimmy
Power Services
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto attraverso ulteriori controlli.
CVE-2025-24173: Mickey Jin (@patch1t)
RepairKit
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso ulteriori controlli.
CVE-2025-24095: Mickey Jin (@patch1t)
Safari
Disponibile per: Apple Vision Pro
Impatto: un sito web potrebbe essere in grado di bypassare la Same Origin Policy.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
Voce aggiunta il 28 maggio 2025
Safari
Disponibile per: Apple Vision Pro
Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.
CVE-2025-24113: @RenwaX23
Security
Disponibile per: Apple Vision Pro
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai di Alibaba Group, Luyi Xing dell'Indiana University Bloomington
Share Sheet
Disponibile per: Apple Vision Pro
Impatto: un'app dannosa potrebbe ignorare la notifica del sistema sulla schermata di blocco in cui è stata avviata una registrazione.
Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Shortcuts
Disponibile per: Apple Vision Pro
Impatto: un comando rapido potrebbe accedere a file che sono normalmente inaccessibili per l'app Comandi rapidi.
Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.
CVE-2025-30433: Andrew James Gonzalez
Siri
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.
Descrizione: un problema di privacy è stato risolto non registrando i contenuti nei campi di testo.
CVE-2025-24214: Kirin (@Pwnrin)
Web Extensions
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe ottenere l'accesso non autorizzato alla rete locale.
Descrizione: il problema è stato risolto con un migliore controllo delle autorizzazioni.
CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) e Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
Disponibile per: Apple Vision Pro
Impatto: l'accesso a un sito web potrebbe causare la perdita di dati sensibili.
Descrizione: un problema di importazione degli script è stato risolto con un isolamento migliore.
CVE-2025-24192: Vsevolod Kokorin (Slonser) di Solidlab
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong e un ricercatore anonimo
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker di ParagonERP
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
Altri riconoscimenti
Accessibility
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) con routezero.security per l'assistenza.
AirPlay
Ringraziamo Uri Katz (Oligo Security) per l'assistenza.
Voce aggiunta il 28 aprile 2025
Apple Account
Ringraziamo Byron Fecho per l'assistenza.
FaceTime
Ringraziamo Anonimo, Dohyun Lee (@l33d0hyun) di USELab, Korea University, Youngho Choi di CEL, Korea University e Geumhwan Cho di USELab, Korea University per l'assistenza.
Find My
Ringraziamo 神罚(@Pwnrin) per l'assistenza.
Foundation
Vorremmo ringraziare Jann Horn di Google Project Zero per l'assistenza.
HearingCore
Ringraziamo Kirin@Pwnrin e LFY@secsys dell'Università Fudan per l'assistenza.
ImageIO
Ringraziamo D4m0n per l'assistenza.
Ringraziamo Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau della Chinese University di Hong Kong per l'assistenza.
Messages
Ringraziamo parkminchan della Korea Univ. per l'assistenza.
Photos
Ringraziamo Bistrit Dahal per l'assistenza.
Safari Extensions
Ringraziamo Alisha Ukani, Pete Snyder, Alex C. Snoeren per l'assistenza.
Sandbox Profiles
Ringraziamo Benjamin Hornbeck per l'assistenza.
SceneKit
Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.
Security
Ringraziamo Kevin Jones (GitHub) per l'assistenza.
Settings
Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal di C-DAC Thiruvananthapuram India per l'assistenza.
Shortcuts
Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.
WebKit
Ringraziamo Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu dell'HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) di VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang dell'HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) di VXRL., Xiangwei Zhang del Tencent Security YUNDING LAB e un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.