visionOS 2.6のセキュリティコンテンツについて
visionOS 2.6のセキュリティコンテンツについて説明します。
Appleセキュリティアップデートについて
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
visionOS 2.6
2025年7月29日リリース
afclip
対象:Apple Vision Pro
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43186:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
CFNetwork
対象:Apple Vision Pro
影響:特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。
説明:入力検証を強化し、サービス運用妨害の脆弱性に対処しました。
CVE-2025-43223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏
CoreAudio
対象:Apple Vision Pro
影響:悪意を持って作成されたオーディオファイルを処理すると、メモリが破損する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-43277:GoogleのThreat Analysis Group
CoreMedia
対象:Apple Vision Pro
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43210:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
CoreMedia Playback
対象:Apple Vision Pro
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。
CVE-2025-43230:ZUSO ARTおよびtaikosoupのChi Yuan Chang氏
ICU
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43209:Trend Micro Zero Day Initiativeに協力するGary Kwong氏
ImageIO
対象:Apple Vision Pro
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2025-43226
libxml2
対象:Apple Vision Pro
影響:ファイルを処理すると、メモリが破損する可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7425:Google Project ZeroのSergei Glazunov氏
libxslt
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2025-7424:Google Project ZeroのIvan Fratric氏
Metal
対象:Apple Vision Pro
影響:悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-2025-43234:GoogleのThreat Analysis GroupのVlad Stolyarov氏
Model I/O
対象:Apple Vision Pro
影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2025-43224:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
CVE-2025-43221:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
Model I/O
対象:Apple Vision Pro
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:メモリ処理を改善し、入力検証の脆弱性に対処しました。
CVE-2025-31281:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:292888
CVE-2025-43227:Gilad Moav氏
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:291742
CVE-2025-31278:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:291745
CVE-2025-31277:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit Bugzilla:293579
CVE-2025-31273:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:292599
CVE-2025-43214:Trend Micro Zero Day Initiativeに協力するshandikri氏、Google V8 Security Team
WebKit Bugzilla:292621
CVE-2025-43213:Google V8 Security Team
WebKit Bugzilla:293197
CVE-2025-43212:Nan Wang氏(@eternalsakura13)およびZiling Chen氏
WebKit
対象:Apple Vision Pro
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:293730
CVE-2025-43211:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、アプリの内部の状態情報が漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
WebKit Bugzilla:294182
CVE-2025-43265:DEVCORE Research TeamのHexRabbit氏(@h3xr4bb1t)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
WebKit Bugzilla:295382
CVE-2025-43216:Ignacio Sanmillan氏(@ulexec)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
WebKit Bugzilla:296459
CVE-2025-6558:GoogleのThreat Analysis GroupのClément Lecigne氏およびVlad Stolyarov氏
ご協力いただいたその他の方々
Bluetooth
Source GuardのLIdong LI氏、Xiao Wang氏、Shao Dong Chen氏、およびChao Tan氏のご協力に感謝いたします。
CoreAudio
Noah Weinberg氏のご協力に感謝いたします。
Device Management
Al Karak氏のご協力に感謝いたします。
libxml2
Google Project ZeroのSergei Glazunov氏のご協力に感謝いたします。
libxslt
Google Project ZeroのIvan Fratric氏のご協力に感謝いたします。
Shortcuts
Dennis Kniep氏のご協力に感謝いたします。
WebKit
Google V8 Security Team、Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏、rheza氏(@ginggilBesel)のご協力に感謝いたします。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。