Zawartość związana z zabezpieczeniami w systemie visionOS 2.3
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 2.3.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
visionOS 2.3
Wydano 27 stycznia 2025 r.
AirPlay
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-24179: Uri Katz (Oligo Security)
Wpis dodano 28 kwietnia 2025 r.
AirPlay
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować uszkodzenie pamięci procesowej.
Opis: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.
CVE-2025-24126: Uri Katz (Oligo Security)
Wpis uaktualniono 28 kwietnia 2025 r.
AirPlay
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2025-24129: Uri Katz (Oligo Security)
Wpis uaktualniono 28 kwietnia 2025 r.
AirPlay
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24131: Uri Katz (Oligo Security)
Wpis uaktualniono 28 kwietnia 2025 r.
AirPlay
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca w sieci lokalnej może uszkodzić pamięć procesową.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2025-24137: Uri Katz (Oligo Security)
Wpis uaktualniono 28 kwietnia 2025 r.
ARKit
Dostępne dla: Apple Vision Pro
Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin z Uniwersytetu Zhejiang
CoreAudio
Dostępne dla: Apple Vision Pro
Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24160: Threat Analysis Group firmy Google
CVE-2025-24161: Threat Analysis Group firmy Google
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Dostępne dla: Apple Vision Pro
Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2025-24123: Desmond pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2025-24124: Pwn2car i Rotiple (HyeongSeok Jang) pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CoreMedia
Dostępne dla: Apple Vision Pro
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie podwyższyć uprawnienia. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 17.2.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2025-24085
CoreMedia Playback
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) i Lee Dong Ha (Who4mI)
Wpis dodano 16 maja 2025 r.
Display
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2025-24111: Wang Yu z Cyberserval
Wpis dodano 12 maja 2025 r.
ImageIO
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) w Enki WhiteHat, D4m0n
Kernel
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Wpis dodano 12 maja 2025 r.
Kernel
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.
CVE-2024-55549: Ivan Fratric z Google Project Zero
CVE-2025-24855: Ivan Fratric z Google Project Zero
Wpis dodano 16 maja 2025 r.
PackageKit
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2025-31262: Mickey Jin (@patch1t)
Wpis dodano 16 maja 2025 r.
Safari
Dostępne dla: Apple Vision Pro
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: ten błąd naprawiono przez ulepszenie interfejsu użytkownika.
CVE-2025-24113: @RenwaX23
SceneKit
Dostępne dla: Apple Vision Pro
Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-24149: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
WebContentFilter
Dostępne dla: Apple Vision Pro
Zagrożenie: atakujący może spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-24154: anonimowy badacz
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 284332
CVE-2025-24189: anonimowy badacz
Wpis dodano 16 maja 2025 r.
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: problem został rozwiązany dzięki ulepszonym ograniczeniom dostępu do systemu plików.
WebKit Bugzilla: 283117
CVE-2025-24143: anonimowy badacz
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) z NUS CuriOSity i P1umer (@p1umer) z Imperial Global Singapore
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy z HKUS3Lab i chluo z WHUSecLab
Dodatkowe podziękowania
Audio
Dziękujemy za udzieloną pomoc: Threat Analysis Group firmy Google.
CoreAudio
Dziękujemy za udzieloną pomoc: Threat Analysis Group firmy Google.
Files
Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup.
Guest User
Dziękujemy za udzieloną pomoc: Jake Derouin.
iCloud
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, George Kovaios, Srijan Poudel.
Wpis dodano 16 maja 2025 r.
Passwords
Dziękujemy za udzieloną pomoc: Talal Haj Bakry i Tommy Mysk z Mysk Inc. @mysk_co.
Static Linker
Dziękujemy za udzieloną pomoc: Holger Fuhrmannek.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.