Zawartość związana z zabezpieczeniami w systemie visionOS 2.6
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 2.6.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
visionOS 2.6
Wydano 29 lipca 2025 r.
afclip
Dostępne dla: Apple Vision Pro
Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-43186: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
CFNetwork
Dostępne dla: Apple Vision Pro
Zagrożenie: użytkownik bez uprawnień może być w stanie zmodyfikować ustawienia sieci z ograniczeniami
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-43223: Andreas Jaegersberger i Ro Achterberg z Nosebeard Labs
CoreAudio
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio mogło doprowadzić do uszkodzenia pamięci.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2025-43277: Threat Analysis Group firmy Google
CoreMedia
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-43210: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
CoreMedia Playback
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2025-43230: Chi Yuan Chang z ZUSO ART i taikosoup
ICU
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-43209: Gary Kwong w ramach programu Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-43226
libxml2
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie pliku może doprowadzić do uszkodzenia pamięci.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.
CVE-2025-7425: Sergei Glazunov z Google Project Zero
libxslt
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.
CVE-2025-7424: Ivan Fratric z Google Project Zero
Metal
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej tekstury może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2025-43234: Vlad Stolyarov z Threat Analysis Group firmy Google
Model I/O
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2025-43224: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2025-43221: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Model I/O
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2025-31281: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri w ramach programu Zero Day Initiative firmy Trend Micro, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) i Ziling Chen
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić wewnętrzne stany aplikacji.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) z DEVCORE Research Team
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne i Vlad Stolyarov z Threat Analysis Group firmy Google
Dodatkowe podziękowania
Bluetooth
Dziękujemy za udzieloną pomoc: LIdong LI, Xiao Wang, Shao Dong Chen i Chao Tan z Source Guard
CoreAudio
Dziękujemy za udzieloną pomoc: Noah Weinberg.
Device Management
Dziękujemy za udzieloną pomoc: Al Karak.
libxml2
Dziękujemy za udzieloną pomoc: Sergei Glazunov z Google Project Zero.
libxslt
Dziękujemy za udzieloną pomoc: Ivan Fratric z Google Project Zero.
Shortcuts
Dziękujemy za udzieloną pomoc: Dennis Kniep.
WebKit
Dziękujemy za udzieloną pomoc: Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu i Xiaojie Wei, rheza (@ginggilBesel).
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.