Om sikkerhetsinnholdet i visionOS 2.5

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 2.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 2.5

AppleJPEG

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31251: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Core Bluetooth

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2025-31212: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

CoreAudio

Tilgjengelig for: Apple Vision Pro

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31208: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreGraphics

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-31209: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Vision Pro

Virkning: Parsing av en fil kan føre til uventet appavslutning

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31239: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig videofil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31233: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

iCloud Document Sharing

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan slå på deling av en iCloud-mappe uten autentisering

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2025-30448: Dayton Pidhirney hos Atredis Partners, Lyutoon og YenKoc

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2025-31226: Saagar Jha

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-31219: Michael DePlante (@izobashi) og Lucas Leong (@_wmliang_) fra Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.

CVE-2025-31241: Christian Kohlschütter

libexpat

Tilgjengelig for: Apple Vision Pro

Virkning: Flere problemer i libexpat, inkludert uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-8176

mDNSResponder

Tilgjengelig for: Apple Vision Pro

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31245: wac

Pro Res

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret rensing av inndata.

CVE-2025-31234: CertiK (@CertiK)

Security

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2025-31221: Dave G.

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Et skriveforvirringsproblem kunne føre til et ødelagt minne

Beskrivelse: Dette problemet ble løst gjennom forbedret håndtering av flyt.

CVE-2025-24213: Google V8 Security Team

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs

CVE-2025-31238: wac i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-24223: rheza (@ginggilBesel) og en anonym forsker

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31215: Jiming Wang og Jikai Ren

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-31206: en anonym forsker

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2025-31205: Ivan Fratric fra Google Project Zero

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2025-31257: Juergen Schmied fra Lynck GmbH

Ytterligere anerkjennelser

AirDrop

Vi vil gjerne takke Dalibor Milanovic for hjelpen.

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.

libnetcore

Vi vil gjerne takke Hoffcona fra ByteDance IES Red Team for hjelpen.

MobileGestalt

Vi vil gjerne takke iisBuri for hjelpen.

NetworkExtension

Vi vil gjerne takke Andrei-Alexandru Bleorțu for hjelpen.

Safari

Vi vil gjerne takke Akash Labade, Narendra Bhati, Manager fra Cyber Security ved Suma Soft Pvt. Ltd. Pune (India) for hjelpen.

Shortcuts

Vi vil gjerne takke Candace Jensen fra Kandji, Chi Yuan Chang fra ZUSO ART og taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud for hjelpen.

WebKit

Vi vil gjerne takke Mike Dougherty og Daniel White fra Google Chrome og en anonym forsker for hjelpen.