Over de beveiligingsinhoud van visionOS 2.4

In dit artikel wordt de beveiligingsinhoud van visionOS 2.4 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

visionOS 2.4

Accounts

Beschikbaar voor: Apple Vision Pro

impact: gevoelige gegevens in de sleutelhanger kunnen toegankelijk zijn vanaf een iOS-back-up.

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2025-24221: Lehan Dilusha @zorrosign Sri Lanka en een anonieme onderzoeker

Audio

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24243: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Authentication Services

Beschikbaar voor: Apple Vision Pro

Impact: De automatische invoer van wachtwoorden kan wachtwoorden invullen na een mislukte identiteitscontrole

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30430: Dominik Rath

Authentication Services

Beschikbaar voor: Apple Vision Pro

Impact: een schadelijke website kan mogelijk WebAuthn-referenties opeisen van een andere website die een registreerbaar suffix deelt.

Beschrijving: dit probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-24180: Martin Kreichgauer van Google Chrome

BiometricKit

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2025-24237: Yutong Xiu

Calendar

Beschikbaar voor: Apple Vision Pro

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Beschikbaar voor: Apple Vision Pro

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Beschikbaar voor: Apple Vision Pro

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Beschikbaar voor: Apple Vision Pro

Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24230: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CoreMedia

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app of een corrupt procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24211: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CoreMedia

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app of een corrupt procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24190: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CoreText

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24182: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

curl

Beschikbaar voor: Apple Vision Pro

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-9681

Focus

Beschikbaar voor: Apple Vision Pro

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-30439: Andr.Ess

Focus

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen

CVE-2025-30447: LFY@secsys van Fudan University

ImageIO

Beschikbaar voor: Apple Vision Pro

Impact: het parseren van een afbeelding kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een logicaprobleem is verholpen door een verbeterde behandeling van fouten.

CVE-2025-24210: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

IOGPUFamily

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-24257: Wang Yu van Cyberserval

Kernel

Beschikbaar voor: Apple Vision Pro

Impact: een schadelijke app kan proberen wachtwoorden in te voeren op een vergrendeld apparaat. Na vier mislukte pogingen wordt het account voor een steeds langere periode geblokkeerd.

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Beschikbaar voor: Apple Vision Pro

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-48958

libnetcore

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-24194: een anonieme onderzoeker

libxml2

Beschikbaar voor: Apple Vision Pro

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk bestanden verwijderen waarvoor deze geen bevoegdheid heeft

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2025-31182: Alex Radocea en Dave G. van Supernetworks, 风沐云烟(@binary_fmyy) en Minghao Lin(@Y1nKoc)

Maps

Beschikbaar voor: Apple Vision Pro

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2025-30470: LFY@secsys van Fudan University

NetworkExtension

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30426: Jimmy

Power Services

Beschikbaar voor: Apple Vision Pro

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Beschikbaar voor: Apple Vision Pro

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde gebruikersinterface.

CVE-2025-24113: @RenwaX23

Security

Beschikbaar voor: Apple Vision Pro

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai van Alibaba Group, Luyi Xing van Indiana University Bloomington

Share Sheet

Beschikbaar voor: Apple Vision Pro

Impact: een schadelijke app kan de systeemmelding op het vergrendelscherm dat er een opname is gestart, verwijderen.

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Beschikbaar voor: Apple Vision Pro

Impact: een snelkoppeling kan toegang krijgen tot bestanden die normaal ontoegankelijk zijn voor de app Snelkoppelingen

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2025-30433: Andrew James Gonzalez

Siri

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door inhoud van tekstvelden niet vast te leggen.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot het lokale netwerk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt en Mathy Vanhoef (@vanhoefm) en Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Beschikbaar voor: Apple Vision Pro

Impact: een bezoek aan een website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een scriptimportprobleem met verwerking van paden is verholpen door verbeterde isolatie.

CVE-2025-24192: Vsevolod Kokorin (Slonser) van Solidlab

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24264: Gary Kwong en een anonieme onderzoeker

CVE-2025-24216: Paul Bakker van ParagonERP

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-30427: rheza (@ginggilBesel)

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College van Technology Bhopal India, Richard Hyunho Im (@richeeta) met routezero.security voor de hulp.

Apple Account

Met dank aan Byron Fecho voor de hulp.

Audio

Met dank aan Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative voor de hulp.

FaceTime

Met dank aan Anonymous, Dohyun Lee (@l33d0hyun) van USELab, Korea University en Youngho Choi van CEL, Korea University en Geumhwan Cho van USELab, Korea University voor de hulp.

Find My

Met dank aan 神罚(@Pwnrin) voor de hulp.

Foundation

Met dank aan Jann Horn van Google Project Zero voor zijn hulp.

HearingCore

Met dank aan Kirin@Pwnrin en LFY@secsys van Fudan University voor de hulp.

ImageIO

Met dank aan D4m0n voor de hulp.

Mail

Met dank aan Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau van The Chinese University of Hong Kong voor de hulp.

Messages

Met dank aan parkminchan van Korea Univ. voor de hulp.

Photos

Met dank aan Bistrit Dahal voor de hulp.

Safari Extensions

Met dank aan Alisha Ukani, Pete Snyder, Alex C. Snoeren voor de hulp.

Sandbox Profiles

Met dank aan Benjamin Hornbeck voor de hulp.

SceneKit

Met dank aan Marc Schoenefeld, Dr. rer. nat. voor de hulp.

Security

Met dank aan Kevin Jones (GitHub) voor de hulp.

Settings

Met dank aan Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India voor de hulp.

Shortcuts

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

WebKit

Met dank aan Wai Kin Wong, Dongwei Xiao, Shuai Wang en Daoyuan Wu van HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) van VXRL, Wong Wai Kin, Dongwei Xiao en Shuai Wang van HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) van VXRL., Xiangwei Zhang van Tencent Security YUNDING LAB en een anonieme onderzoeker voor de hulp.