Zawartość związana z zabezpieczeniami w systemie visionOS 2.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 2.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

visionOS 2.5

Wydano 12 maja 2025 r.

AppleJPEG

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-31251: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Core Bluetooth

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-31212: Guilherme Rambo z Best Buddy Apps (rambo.codes)

CoreAudio

Dostępne dla: Apple Vision Pro

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31208: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreGraphics

Dostępne dla: Apple Vision Pro

Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-31209: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: Apple Vision Pro

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-31239: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-31233: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

iCloud Document Sharing

Dostępne dla: Apple Vision Pro

Zagrożenie: osoba atakująca może włączyć udostępnianie folderu iCloud bez uwierzytelniania.

Opis: ten błąd naprawiono przez dodanie kontroli uprawnień.

CVE-2025-30448: Dayton Pidhirney z Atredis Partners, Lyutoon i YenKoc

ImageIO

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2025-31226: Saagar Jha

Kernel

Dostępne dla: Apple Vision Pro

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24224: Tony Iskow (@Tybbow)

Wpis dodano 29 lipca 2025 r.

Kernel

Dostępne dla: Apple Vision Pro

Zagrożenie: atakujący może spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-31219: Michael DePlante (@izobashi) i Lucas Leong (@_wmliang_) w ramach programu Zero Day Initiative firmy Trend Micro

Kernel

Dostępne dla: Apple Vision Pro

Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostępne dla: Apple Vision Pro

Zagrożenie: wiele problemów w bibliotece libexpat, w tym nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-8176

mDNSResponder

Dostępne dla: Apple Vision Pro

Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.

Opis: naprawiono błąd poprawności przez poprawienie sprawdzania.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-31245: wac

Pro Res

Dostępne dla: Apple Vision Pro

Zagrożenie: atakujący może spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra

Opis: naprawiono błąd przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2025-31234: CertiK (@CertiK)

Security

Dostępne dla: Apple Vision Pro

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-31221: Dave G.

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: problem z nieprawidłowym rozpoznawaniem typu może doprowadzić do uszkodzenia pamięci.

Opis: problem ten rozwiązano, poprawiając obsługę liczb zmiennoprzecinkowych.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

WebKit Bugzilla: 289387

CVE-2025-31223: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

WebKit Bugzilla: 289653

CVE-2025-31238: wac pracujący w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 287577

CVE-2025-24223: rheza (@ginggilBesel) i anonimowy badacz

WebKit Bugzilla: 291506

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd przez poprawienie procedury sprawdzania poprawności danych wejściowych.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang i Jikai Ren

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 290834

CVE-2025-31206: anonimowy badacz

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

WebKit Bugzilla: 290992

CVE-2025-31205: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 290985

CVE-2025-31257: Juergen Schmied z Lynck GmbH

Dodatkowe podziękowania

AirDrop

Dziękujemy za udzieloną pomoc: Dalibor Milanovic.

Kernel

Dziękujemy anonimowemu badaczowi za pomoc.

libnetcore

Dziękujemy za udzieloną pomoc: Hoffcona z ByteDance IES Red Team.

MobileGestalt

Dziękujemy za udzieloną pomoc: iisBuri.

NetworkExtension

Dziękujemy za udzieloną pomoc: Andrei-Alexandru Bleorțu.

Safari

Dziękujemy za udzieloną pomoc: Akash Labade oraz Narendra Bhati, kierownik ds. cyberbezpieczeństwa w Suma Soft Pvt. Ltd. w Pune (Indie).

Shortcuts

Dziękujemy za udzieloną pomoc: Candace Jensen z Kandji, Chi Yuan Chang z ZUSO ART oraz taikosoup, Egor Filatov (Positive Technologies), Monnier Pascaud.

WebKit

Dziękujemy za udzieloną pomoc: Mike Dougherty i Daniel White z Google Chrome oraz anonimowy badacz.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: