Sobre o conteúdo de segurança do visionOS 2.3
Este documento descreve o conteúdo de segurança do visionOS 2.3.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
visionOS 2.3
Lançado em 27 de janeiro de 2025
AirPlay
Disponível para: Apple Vision Pro
Impacto: um invasor na rede local pode causar uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-24179: Uri Katz (Oligo Security)
Entrada adicionada em segunda-feira, 28 de abril de 2025
AirPlay
Disponível para: Apple Vision Pro
Impacto: um invasor em uma rede local pode conseguir corromper a memória do processo
Descrição: um problema na validação de entradas foi resolvido.
CVE-2025-24126: Uri Katz (Oligo Security)
Entrada atualizada em 28 de abril de 2025
AirPlay
Disponível para: Apple Vision Pro
Impacto: um invasor em uma rede local pode causar o encerramento inesperado de um app
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.
CVE-2025-24129: Uri Katz (Oligo Security)
Entrada atualizada em 28 de abril de 2025
AirPlay
Disponível para: Apple Vision Pro
Impacto: um invasor na rede local pode causar uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24131: Uri Katz (Oligo Security)
Entrada atualizada em 28 de abril de 2025
AirPlay
Disponível para: Apple Vision Pro
Impacto: um invasor na rede local pode ser capaz de corromper a memória do processo
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.
CVE-2025-24137: Uri Katz (Oligo Security)
Entrada atualizada em 28 de abril de 2025
ARKit
Disponível para: Apple Vision Pro
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu e Xingwei Lin da Universidade de Zhejiang
CoreAudio
Disponível para: Apple Vision Pro
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Disponível para: Apple Vision Pro
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-24123: Desmond em parceria com a Zero Day Initiative da Trend Micro
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) em parceria com a Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: Apple Vision Pro
Impacto: um aplicativo malicioso pode elevar privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 17.2.
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2025-24085
CoreMedia Playback
Disponível para: Apple Vision Pro
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) e Lee Dong Ha (Who4mI)
Entrada adicionada em 16 de maio de 2025
Tela
Disponível para: Apple Vision Pro
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-24111: Wang Yu da Cyberserval
Entrada adicionada em 12 de maio de 2025
ImageIO
Disponível para: Apple Vision Pro
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24086: DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) na Enki WhiteHat, D4m0n
Kernel
Disponível para: Apple Vision Pro
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Entrada adicionada em 12 de maio de 2025
Kernel
Disponível para: Apple Vision Pro
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Disponível para: Apple Vision Pro
Impacto: um app pode conseguir capturar a impressão digital do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Disponível para: Apple Vision Pro
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-55549: Ivan Fratric do Google Project Zero
CVE-2025-24855: Ivan Fratric do Google Project Zero
Entrada adicionada em 16 de maio de 2025
PackageKit
Disponível para: Apple Vision Pro
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-31262: Mickey Jin (@patch1t)
Entrada adicionada em 16 de maio de 2025
Safari
Disponível para: Apple Vision Pro
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: o problema foi resolvido por meio de melhorias da interface do usuário.
CVE-2025-24113: @RenwaX23
SceneKit
Disponível para: Apple Vision Pro
Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-24149: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
WebContentFilter
Disponível para: Apple Vision Pro
Impacto: um invasor pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-24154: um pesquisador anônimo
WebKit
Disponível para: Apple Vision Pro
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 284332
CVE-2025-24189: pesquisador anônimo
Entrada adicionada em 16 de maio de 2025
WebKit
Disponível para: Apple Vision Pro
Impacto: uma página da Web criada com códigos maliciosos pode criar uma representação exclusiva do usuário
Descrição: o problema foi corrigido por meio de melhorias nas restrições de acesso ao sistema de arquivos.
WebKit Bugzilla: 283117
CVE-2025-24143: um pesquisador anônimo
WebKit
Disponível para: Apple Vision Pro
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) da NUS CuriOSity e P1umer (@p1umer) da Imperial Global Singapore
WebKit
Disponível para: Apple Vision Pro
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy do HKUS3Lab e chluo do WHUSecLab
Outros reconhecimentos
Audio
Gostaríamos de agradecer ao Google Threat Analysis Group pela ajuda.
CoreAudio
Gostaríamos de agradecer ao Google Threat Analysis Group pela ajuda.
Files
Gostaríamos de agradecer a Chi Yuan Chang of ZUSO ART e taikosoup pela ajuda.
Guest User
Gostaríamos de agradecer a Jake Derouin pela ajuda.
iCloud
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, George Kovaios e Srijan Poudel pela ajuda.
Entrada adicionada em 16 de maio de 2025
Passwords
Gostaríamos de agradecer a Talal Haj Bakry e Tommy Mysk da Mysk Inc. @mysk_co pela ajuda.
Static Linker
Gostaríamos de agradecer a Holger Fuhrmannek pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.