Despre conținutul de securitate din visionOS 2.3
Acest document descrie conținutul de securitate din visionOS 2.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
visionOS 2.3
Lansare: 27 ianuarie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.
CVE-2025-24179: Uri Katz (Oligo Security)
Intrare adăugată pe 28 aprilie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală ar putea fi capabil să corupă memoria de proces
Descriere: a fost remediată o problemă legată de validarea intrărilor.
CVE-2025-24126: Uri Katz (Oligo Security)
Actualizare intrare: 28 aprilie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2025-24129: Uri Katz (Oligo Security)
Actualizare intrare: 28 aprilie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24131: Uri Katz (Oligo Security)
Actualizare intrare: 28 aprilie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală poate corupe memoria de proces
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2025-24137: Uri Katz (Oligo Security)
Actualizare intrare: 28 aprilie 2025
ARKit
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu și Xingwei Lin din cadrul Universității Zhejiang
CoreAudio
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24123: Desmond în colaborare cu Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) în colaborare cu Trend Micro Zero Day Initiative
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație rău intenționată poate să acorde privilegii superioare. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 17.2.
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2025-24085
CoreMedia Playback
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) și Lee Dong Ha (Who4mI)
Intrare adăugată pe 16 mai 2025
Display
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2025-24111: Wang Yu de la Cyberserval
Intrare adăugată pe 12 mai 2025
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24086: DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) din cadrul Enki WhiteHat, D4m0n
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Intrare adăugată pe 12 mai 2025
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.
CVE-2024-55549: Ivan Fratric de la Google Project Zero
CVE-2025-24855: Ivan Fratric de la Google Project Zero
Intrare adăugată pe 16 mai 2025
PackageKit
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2025-31262: Mickey Jin (@patch1t)
Intrare adăugată pe 16 mai 2025
Safari
Disponibilitate pentru: Apple Vision Pro
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.
CVE-2025-24113: @RenwaX23
SceneKit
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2025-24149: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative
WebContentFilter
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2025-24154: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 284332
CVE-2025-24189: un cercetător anonim
Intrare adăugată pe 16 mai 2025
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: problema a fost remediată prin îmbunătățirea restricțiilor de acces la sistemul de fișiere.
WebKit Bugzilla: 283117
CVE-2025-24143: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) de la NUS CuriOSity și P1umer (@p1umer) de la Imperial Global Singapore
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy (HKUS3Lab) și chluo (WHUSecLab)
Alte mențiuni
Audio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
CoreAudio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
Files
Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.
Guest User
Dorim să-i mulțumim lui Jake Derouin pentru asistență.
iCloud
Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, George Kovaios și Srijan Poudel pentru asistența acordată.
Intrare adăugată pe 16 mai 2025
Passwords
Dorim să-i mulțumim lui Talal Haj Bakry și lui Tommy Mysk (Mysk Inc. @mysk_co) pentru asistență.
Static Linker
Dorim să îi mulțumim lui Holger Fuhrmannek pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.