visionOS 2.4의 보안 콘텐츠에 관하여
이 문서에서는 visionOS 2.4의 보안 콘텐츠에 대해 설명합니다.
Apple 보안 업데이트에 관하여
Apple은 고객 보호를 위해 조사를 마치고 패치 또는 출시 버전을 제공할 수 있을 때까지는 보안 문제를 공개하거나, 논의하거나, 확인해 주지 않습니다. 최신 출시 버전은 Apple 보안 출시 버전 페이지에 나와 있습니다.
Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.
보안에 대한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오.
visionOS 2.4
2025년 3월 31일 출시
Accounts
대상: Apple Vision Pro
영향: iOS 백업에서 민감한 키체인 데이터에 접근할 수 있음
설명: 이 문제는 향상된 데이터 접근 제한을 통해 해결되었습니다.
CVE-2025-24221: Lehan Dilusha(@zafer) 및 익명의 연구원
2025년 5월 28일에 업데이트된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 서비스 거부를 야기할 수 있음
설명: Null 포인터 역참조는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-31202: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로그인된 Mac과 동일한 네트워크에 있는 인증되지 않은 사용자가 해당 Mac에 페어링 없이 AirPlay 명령을 보낼 수 있음
설명: 접근 문제는 향상된 접근 제한을 통해 해결되었습니다.
CVE-2025-24271: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 민감한 사용자 정보를 유출할 수 있음
설명: 이 문제는 취약한 코드를 제거하여 해결되었습니다.
CVE-2025-24270: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 프로세스 메모리를 손상시킬 수 있음
설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.
CVE-2025-24252: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 앱을 예기치 않게 종료할 수 있음
설명: 이 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-24251: Uri Katz(Oligo Security)
CVE-2025-31197: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 인증 정책을 우회할 수 있음
설명: 인증 문제는 개선된 상태 관리를 통해 해결되었습니다.
CVE-2025-24206: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
AirPlay
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 앱을 예기치 않게 종료할 수 있음
설명: 유형 혼동 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-30445: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
Audio
대상: Apple Vision Pro
영향: 앱이 ASLR을 우회할 수 있음
설명: 범위를 벗어난 접근 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-2025-43205: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
2025년 7월 29일에 추가된 항목
Audio
대상: Apple Vision Pro
영향: 악의적으로 제작된 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.
CVE-2025-24243: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
Authentication Services
대상: Apple Vision Pro
영향: 인증이 실패한 후에 암호 자동 완성 기능을 통해 암호가 입력되는 문제가 발생할 수 있음
설명: 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-2025-30430: Dominik Rath
Authentication Services
대상: Apple Vision Pro
영향: 악의적인 웹사이트가 등록 가능한 접미사를 공유하는 다른 웹사이트의 WebAuthn 자격 증명을 요청할 수 있음
설명: 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-24180: Google Chrome의 Martin Kreichgauer
BiometricKit
대상: Apple Vision Pro
영향: 앱이 예기치 않은 시스템 종료를 야기할 수 있음
설명: 버퍼 오버플로우는 향상된 범위 검사를 통해 해결되었습니다.
CVE-2025-24237: Yutong Xiu(@Sou1gh0st)
2025년 5월 28일에 업데이트된 항목
Calendar
대상: Apple Vision Pro
영향: 앱이 샌드 박스의 범위를 벗어날 수 있음
설명: 경로 처리 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-2025-30429: Denis Tokarev(@illusionofcha0s)
Calendar
대상: Apple Vision Pro
영향: 앱이 샌드 박스의 범위를 벗어날 수 있음
설명: 이 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-24212: Denis Tokarev(@illusionofcha0s)
CoreAudio
대상: Apple Vision Pro
영향: 파일을 구문 분석하면 앱이 예기치 않게 종료될 수 있음
설명: 이 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-24163: Google Threat Analysis Group
CoreAudio
대상: Apple Vision Pro
영향: 악성 오디오 파일을 재생하면 앱이 예기치 않게 종료될 수 있음
설명: 범위를 벗어난 읽기 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-24230: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
CoreGraphics
대상: Apple Vision Pro
영향: 악의적으로 제작된 파일을 처리하면 서비스 거부가 발생하거나 메모리 콘텐츠가 잠재적으로 노출될 수 있음
설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-31196: Trend Micro Zero Day Initiative에 참여 중인 wac
2025년 5월 28일에 추가된 항목
CoreMedia
대상: Apple Vision Pro
영향: 악의적으로 제작된 비디오 파일을 처리하면 앱이 예기치 않게 종료되거나 프로세스 메모리를 손상시킬 수 있음
설명: 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-2025-24211: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
CoreMedia
대상: Apple Vision Pro
영향: 악의적으로 제작된 비디오 파일을 처리하면 앱이 예기치 않게 종료되거나 프로세스 메모리를 손상시킬 수 있음
설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.
CVE-2025-24190: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
CoreText
대상: Apple Vision Pro
영향: 악의적으로 제작된 서체를 처리하면 프로세스 메모리가 공개될 수 있음
설명: 범위를 벗어난 읽기 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-24182: Trend Micro Zero Day Initiative의 Hossein Lotfi(@hosselot)
CoreUtils
대상: Apple Vision Pro
영향: 로컬 네트워크에 있는 공격자가 서비스 거부를 야기할 수 있음
설명: 정수 오버플로우는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-31203: Uri Katz(Oligo Security)
2025년 4월 28일에 추가된 항목
curl
대상: Apple Vision Pro
영향: 입력 유효성 확인 문제가 해결됨
설명: 이는 오픈 소스 코드의 취약점이며 Apple 소프트웨어도 영향을 받는 프로젝트입니다. CVE-ID는 타사에서 할당했습니다. cve.org 사이트에서 문제 및 CVE-ID에 대해 자세히 알아보십시오.
CVE-2024-9681
Focus
대상: Apple Vision Pro
영향: 잠긴 기기에 물리적 접근이 가능한 공격자가 민감한 사용자 정보를 볼 수 있음
설명: 이 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-30439: Andr.Ess
Focus
대상: Apple Vision Pro
영향: 앱이 민감한 사용자 데이터에 접근할 수 있음
설명: 향상된 데이터 교정을 통해 로그 기록 문제가 해결되었습니다.
CVE-2025-24283: Kirin(@Pwnrin)
Foundation
대상: Apple Vision Pro
영향: 앱이 민감한 사용자 데이터에 접근할 수 있음
설명: 기록을 무해화하여 문제가 해결되었음
CVE-2025-30447: Fudan University의 LFY@secsys
ImageIO
대상: Apple Vision Pro
영향: 이미지를 구문 분석하면 사용자 정보가 공개될 수 있음
설명: 로직 오류는 향상된 오류 처리를 통해 해결되었습니다.
CVE-2025-24210: Trend Micro Zero Day Initiative에 참여 중인 익명의 연구원
IOGPUFamily
대상: Apple Vision Pro
영향: 앱이 예기치 않은 시스템 종료 또는 커널 메모리 쓰기를 야기할 수 있음
설명: 범위를 벗어난 쓰기 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-2025-24257: Cyberserval의 Wang Yu
Kernel
대상: Apple Vision Pro
영향: 악성 앱이 잠겨 있는 기기에서 암호 입력을 시도할 수 있으며, 4번의 실패 후 에스컬레이션 시간 지연이 발생할 수 있음
설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-2025-30432: Michael(Biscuit) Thomas - @biscuit@social.lol
libarchive
대상: Apple Vision Pro
영향: 입력 유효성 확인 문제가 해결됨
설명: 이는 오픈 소스 코드의 취약점이며 Apple 소프트웨어도 영향을 받는 프로젝트입니다. CVE-ID는 타사에서 할당했습니다. cve.org 사이트에서 문제 및 CVE-ID에 대해 자세히 알아보십시오.
CVE-2024-48958
libnetcore
대상: Apple Vision Pro
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 프로세스 메모리가 공개될 수 있음
설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.
CVE-2025-24194: 익명의 연구원
libxml2
대상: Apple Vision Pro
영향: 파일을 구문 분석하면 앱이 예기치 않게 종료될 수 있음
설명: 이는 오픈 소스 코드의 취약점이며 Apple 소프트웨어도 영향을 받는 프로젝트입니다. CVE-ID는 타사에서 할당했습니다. cve.org 사이트에서 문제 및 CVE-ID에 대해 자세히 알아보십시오.
CVE-2025-27113
CVE-2024-56171
libxpc
대상: Apple Vision Pro
영향: 앱이 삭제 권한이 없는 파일을 삭제할 수 있음
설명: 이 문제는 향상된 symlink 처리를 통해 해결되었습니다.
CVE-2025-31182: Supernetworks의 Alex Radocea 및 Dave G., 风沐云烟(@binary_fmyy), Minghao Lin(@Y1nKoc)
Logging
대상: Apple Vision Pro
영향: 앱이 민감한 사용자 데이터에 접근할 수 있음
설명: 향상된 데이터 교정을 통해 로그 기록 문제가 해결되었습니다.
CVE-2025-31199: Microsoft의 Jonathan Bar Or(@yo_yo_yo_jbo), Microsoft의 Alexia Wilson, Microsoft의 Christine Fossaceca
2025년 5월 28일에 추가된 항목
Maps
대상: Apple Vision Pro
영향: 앱이 중요한 위치 정보를 읽을 수 있음
설명: 경로 처리 문제는 향상된 로직을 통해 해결되었습니다.
CVE-2025-30470: Fudan University의 LFY@secsys
NetworkExtension
대상: Apple Vision Pro
영향: 앱이 사용자의 설치된 앱을 나열할 수 있음
설명: 이 문제는 추가 자격 확인을 통해 해결되었습니다.
CVE-2025-30426: Jimmy
Power Services
대상: Apple Vision Pro
영향: 앱이 샌드 박스의 범위를 벗어날 수 있음
설명: 이 문제는 추가 자격 확인을 통해 해결되었습니다.
CVE-2025-24173: Mickey Jin(@patch1t)
RepairKit
대상: Apple Vision Pro
영향: 앱이 개인정보 보호 환경설정을 우회할 수 있음
설명: 이 문제는 추가 자격 확인을 통해 해결되었습니다.
CVE-2025-24095: Mickey Jin(@patch1t)
Safari
대상: Apple Vision Pro
영향: 웹사이트에서 동일 출처 정책을 우회할 수 있음
설명: 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-2025-30466: Jaydev Ahire, @RenwaX23
2025년 5월 28일에 추가된 항목
Safari
대상: Apple Vision Pro
영향: 악의적인 웹사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: UI가 개선되어 문제가 해결되었습니다.
CVE-2025-24113: @RenwaX23
Security
대상: Apple Vision Pro
영향: 원격 사용자가 서비스 거부를 야기할 수 있음
설명: 유효성 확인 문제는 향상된 로직을 통해 해결되었습니다.
CVE-2025-30471: Alibaba Group의 Bing Shi, Wenchao Li, Xiaolong Bai, Indiana University Bloomington의 Luyi Xing
Share Sheet
대상: Apple Vision Pro
영향: 악성 앱이 녹화가 시작되었다는 잠금 화면의 시스템 알림을 무시할 수 있음
설명: 이 문제는 향상된 접근 제한을 통해 해결되었습니다.
CVE-2025-30438: Halle Winkler, Politepix - theoffcuts.org
Shortcuts
대상: Apple Vision Pro
영향: 단축어 앱에서 일반적으로 접근할 수 없는 파일에 단축어가 접근할 수 있음
설명: 이 문제는 향상된 접근 제한을 통해 해결되었습니다.
CVE-2025-30433: Andrew James Gonzalez
Siri
대상: Apple Vision Pro
영향: 앱이 민감한 사용자 데이터에 접근할 수 있음
설명: 개인정보 보호 문제는 텍스트 필드의 내용을 기록하지 않음으로써 해결되었습니다.
CVE-2025-24214: Kirin(@Pwnrin)
Web Extensions
대상: Apple Vision Pro
영향: 앱이 로컬 네트워크에 무단으로 접근할 수 있음
설명: 이 문제는 향상된 권한 검사를 통해 해결되었습니다.
CVE-2025-31184: Alexander Heinrich(@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef(@vanhoefm) 및 Jeroen Robben(@RobbenJeroen), DistriNet, KU Leuven
Web Extensions
대상: Apple Vision Pro
영향: 웹사이트를 방문하면 민감한 데이터가 유출될 수 있음
설명: 스크립트 가져오기 문제는 향상된 가려내기를 통해 해결되었습니다.
CVE-2025-24192: Solidlab의 Vsevolod Kokorin(Slonser)
WebKit
대상: Apple Vision Pro
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 예기치 않은 Safari 충돌이 발생할 수 있음
설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong 및 익명의 연구원
WebKit Bugzilla: 284055
CVE-2025-24216: ParagonERP의 Paul Bakker
WebKit
대상: Apple Vision Pro
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 예기치 않은 Safari 충돌이 발생할 수 있음
설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza(@ginggilBesel)
감사의 말
Accessibility
도움을 주신 Lakshmi Narain College of Technology Bhopal India의 Abhay Kailasia(@abhay_kailasia) 님, Richard Hyunho Im(@richeeta) 님(routezero.security)께 감사드립니다.
AirPlay
도움을 주신 Uri Katz(Oligo Security) 님께 감사드립니다.
2025년 4월 28일에 추가된 항목
Apple Account
도움을 주신 Byron Fecho 님께 감사드립니다.
FaceTime
도움을 주신 익명의 연구원과 고려대학교 USELab 소속 이도현(@l33d0hyun) 님, 고려대학교 CEL 소속 최영호 님, 고려대학교 USELab 소속 조금환 님께 감사드립니다.
Find My
도움을 주신 神罚(@Pwnrin) 님께 감사드립니다.
Foundation
도움을 주신 Google Project Zero의 Jann Horn 님께 감사드립니다.
HearingCore
도움을 주신 Fudan University의 Kirin(@Pwnrin) 님과 LFY(@secsys) 님께 감사드립니다.
ImageIO
도움을 주신 D4m0n 님께 감사드립니다.
도움을 주신 The Chinese University of Hong Kong의 Doria Tang 님, Ka Lok Wu 님, Sze Yiu Chau 교수님께 감사드립니다.
Messages
도움을 주신 고려대학교의 박민찬 님께 감사드립니다.
Photos
도움을 주신 Bistrit Dahal 님께 감사드립니다.
Safari Extensions
도움을 주신 Alisha Ukani 님, Pete Snyder 님, Alex C. Snoeren 님께 감사드립니다.
Sandbox Profiles
도움을 주신 Benjamin Hornbeck 님께 감사드립니다.
SceneKit
도움을 주신 Marc Schoenefeld, Dr. rer. nat. 님께 감사드립니다.
Security
도움을 주신 Kevin Jones(GitHub) 님께 감사드립니다.
Settings
도움을 주신 인도 C-DAC Thiruvananthapuram의 Abhay Kailasia(@abhay_kailasia) 님께 감사드립니다.
Shortcuts
도움을 주신 ZUSO ART 및 taikosoup의 Chi Yuan Chang 님께 감사드립니다.
WebKit
도움을 주신 Wai Kin Wong 님, Dongwei Xiao 님, HKUST Cybersecurity Lab의 Shuai Wang 님 및 Daoyuan Wu 님, VXRL의 Anthony Lai(@darkfloyd1014) 님, Wong Wai Kin 님, HKUST Cybersecurity Lab의 Dongwei Xiao 님과 Shuai Wang 님, VXRL의 Anthony Lai(@darkfloyd1014) 님, Tencent Security YUNDING LAB의 Xiangwei Zhang 님과 익명의 연구원님께 감사드립니다.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.