Zawartość związana z zabezpieczeniami w systemie visionOS 2.6

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 2.6.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

visionOS 2.6

afclip

Dostępne dla: Apple Vision Pro

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43186: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CFNetwork

Dostępne dla: Apple Vision Pro

Zagrożenie: użytkownik bez uprawnień może być w stanie zmodyfikować ustawienia sieci z ograniczeniami

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs

CoreAudio

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio mogło doprowadzić do uszkodzenia pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43277: Threat Analysis Group firmy Google

CoreMedia

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43210: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia Playback

Dostępne dla: Apple Vision Pro

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2025-43230: Chi Yuan Chang z ZUSO ART i taikosoup

ICU

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43209: Gary Kwong w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43226

libxml2

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2025-7425: Sergei Glazunov z Google Project Zero

libxslt

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-7424: Ivan Fratric z Google Project Zero

Metal

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43234: Vlad Stolyarov z Threat Analysis Group firmy Google

Model I/O

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43224: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

Model I/O

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2025-31281: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43227: Gilad Moav

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43214: shandikri w ramach programu Zero Day Initiative firmy Trend Micro, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) i Ziling Chen

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić wewnętrzne stany aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) z DEVCORE Research Team

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Dostępne dla: Apple Vision Pro

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2025-6558: Clément Lecigne i Vlad Stolyarov z Threat Analysis Group firmy Google

Dodatkowe podziękowania

Bluetooth

Dziękujemy za udzieloną pomoc: LIdong LI, Xiao Wang, Shao Dong Chen i Chao Tan z Source Guard

CoreAudio

Dziękujemy za udzieloną pomoc: Noah Weinberg.

Device Management

Dziękujemy za udzieloną pomoc: Al Karak.

libxml2

Dziękujemy za udzieloną pomoc: Sergei Glazunov z Google Project Zero.

libxslt

Dziękujemy za udzieloną pomoc: Ivan Fratric z Google Project Zero.

Shortcuts

Dziękujemy za udzieloną pomoc: Dennis Kniep.

WebKit

Dziękujemy za udzieloną pomoc: Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei, rheza (@ginggilBesel).