Om sikkerhetsinnholdet i visionOS 2.5

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 2.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 2.5

Utgitt 12. mai 2025

AppleJPEG

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31251: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Core Bluetooth

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31212: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

CoreAudio

Tilgjengelig for: Apple Vision Pro

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-31209: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Vision Pro

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31239: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31233: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

iCloud Document Sharing

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan slå på deling av en iCloud-mappe uten autentisering

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-30448: Dayton Pidhirney hos Atredis Partners, Lyutoon og YenKoc

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

Oppføring lagt til 29. juli 2025

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31219: Michael DePlante (@izobashi) og Lucas Leong (@_wmliang_) fra Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tilgjengelig for: Apple Vision Pro

Virkning: Flere problemer i libexpat, inkludert uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-8176

mDNSResponder

Tilgjengelig for: Apple Vision Pro

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31245: wac

Pro Res

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31234: CertiK (@CertiK)

Security

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2025-31221: Dave G.

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Et skriveforvirringsproblem kunne føre til et ødelagt minne

Beskrivelse: Dette problemet ble løst gjennom forbedret håndtering av flyt.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 289387

CVE-2025-31223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

WebKit Bugzilla: 289653

CVE-2025-31238: wac i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 287577

CVE-2025-24223: rheza (@ginggilBesel) og en anonym forsker

WebKit Bugzilla: 291506

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang og Jikai Ren

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

WebKit Bugzilla: 290834

CVE-2025-31206: en anonym forsker

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 290992

CVE-2025-31205: Ivan Fratric fra Google Project Zero

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 290985

CVE-2025-31257: Juergen Schmied fra Lynck GmbH

Ytterligere anerkjennelser

AirDrop

Vi vil gjerne takke Dalibor Milanovic for hjelpen.

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.

libnetcore

Vi vil gjerne takke Hoffcona fra ByteDance IES Red Team for hjelpen.

MobileGestalt

Vi vil gjerne takke iisBuri for hjelpen.

NetworkExtension

Vi vil gjerne takke Andrei-Alexandru Bleorțu for hjelpen.

Safari

Vi vil gjerne takke Akash Labade, Narendra Bhati, Manager fra Cyber Security ved Suma Soft Pvt. Ltd. Pune (India) for hjelpen.

Shortcuts

Vi vil gjerne takke Candace Jensen fra Kandji, Chi Yuan Chang fra ZUSO ART og taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud for hjelpen.

WebKit

Vi vil gjerne takke Mike Dougherty og Daniel White fra Google Chrome og en anonym forsker for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: