Despre conținutul de securitate din visionOS 2.4

Acest document descrie conținutul de securitate din visionOS 2.4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

visionOS 2.4

Accounts

Disponibilitate pentru: Apple Vision Pro

Impact: date sensibile din portchei pot fi accesate dintr-un backup iOS

Descriere: această problemă a fost remediată prin restricționarea îmbunătățită a accesului la date.

CVE-2025-24221: Lehan Dilusha (@zafer) și un cercetător anonim

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un utilizator neautentificat din aceeași rețea ca un Mac autentificat putea să-i trimită comenzi AirPlay fără asociere

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală ar putea fi capabil să colecteze informații sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală ar putea fi capabil să corupă memoria de proces

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală ar putea fi capabil să ocolească politica de autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate să ocolească ASLR

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43205: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Audio

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24243: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Authentication Services

Disponibilitate pentru: Apple Vision Pro

Impact: Completarea automată a parolelor poate completa parole după eșuarea autentificării

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponibilitate pentru: Apple Vision Pro

Impact: un site web rău intenționat ar putea să revendice acreditări WebAuthn de pe un alt site web care partajează un sufix care poate fi înregistrat

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2025-24180: Martin Kreichgauer din cadrul Google Chrome

BiometricKit

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibilitate pentru: Apple Vision Pro

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Disponibilitate pentru: Apple Vision Pro

Impact: redarea un fișier audio modificat cu rea intenție poate cauza terminarea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24230: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreGraphics

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-31196: wac în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a memoriei.

CVE-2025-24211: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24190: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreText

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24182: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreUtils

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibilitate pentru: Apple Vision Pro

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-9681

Focus

Disponibilitate pentru: Apple Vision Pro

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-30439: Andr.Ess

Focus

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost rezolvată prin curățarea înregistrărilor

CVE-2025-30447: LFY@secsys de la Universitatea Fudan

ImageIO

Disponibilitate pentru: Apple Vision Pro

Impact: analizarea unui fișier de imagine poate cauza divulgarea informațiilor despre utilizator

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2025-24210: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

IOGPUFamily

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2025-24257: Wang Yu de la Cyberserval

Kernel

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație rău intenționată poate fi capabilă să introducă parole pe un dispozitiv blocat și să determine, prin urmare, escaladarea întârzierilor de timp după 4 încercări eșuate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibilitate pentru: Apple Vision Pro

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-48958

libnetcore

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24194: un cercetător anonim

libxml2

Disponibilitate pentru: Apple Vision Pro

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2025-31182: Alex Radocea și Dave G. din cadrul Supernetworks, 风沐云烟(@binary_fmyy) și Minghao Lin(@Y1nKoc)

Logging

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) de la Microsoft, Alexia Wilson de la Microsoft, Christine Fossaceca de la Microsoft

Maps

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2025-30470: LFY@secsys de la Universitatea Fudan

NetworkExtension

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-30426: Jimmy

Power Services

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Disponibilitate pentru: Apple Vision Pro

Impact: este posibil ca un site web să poată reuși să evite politica privind aceeași origine

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Disponibilitate pentru: Apple Vision Pro

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.

CVE-2025-24113: @RenwaX23

Security

Disponibilitate pentru: Apple Vision Pro

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2025-30471: Bing Shi, Wenchao Li și Xiaolong Bai de la Alibaba Group, Luyi Xing de la Indiana University Bloomington

Share Sheet

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație rău intenționată poate fi capabilă să anuleze notificarea de sistem privind pornirea unei aplicații de înregistrare, pe un Ecran Blocat

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponibilitate pentru: Apple Vision Pro

Impact: o scurtătură poate fi capabilă să acceseze fișiere care sunt, în mod obișnuit, inaccesibile aplicației Shortcuts

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de confidențialitate a fost rezolvată prin neînregistrarea conținuturilor în câmpurile de text.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate obține acces neautorizat la rețeaua locală

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite de permisiuni.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt și Mathy Vanhoef (@vanhoefm) și Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Disponibilitate pentru: Apple Vision Pro

Impact: accesarea unui site web poate cauza scurgeri de date sensibile

Descriere: o problemă legată de importările de scripturi a fost remediată prin îmbunătățirea izolării.

CVE-2025-24192: Vsevolod Kokorin (Slonser) din cadrul Solidlab

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24264: Gary Kwong și un cercetător anonim

CVE-2025-24216: Paul Bakker din cadrul ParagonERP

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-30427: rheza (@ginggilBesel)

Alte mențiuni

Accessibility

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal India, lui Richard Hyunho Im (@richeeta) cu routezero.security pentru asistența acordată.

AirPlay

Dorim să îi mulțumim lui Uri Katz (Oligo Security) pentru asistență.

Apple Account

Dorim să îi mulțumim lui Byron Fecho pentru asistența acordată.

FaceTime

Dorim să îi mulțumim lui, Dohyun Lee (@l33d0hyun) din cadrul USELab, Korea University & Youngho Choi din cadrul CEL, Korea University & Geumhwan Cho din cadrul USELab, Korea University pentru asistența acordată.

Find My

Dorim să îi mulțumim lui 神罚(@Pwnrin) pentru asistența acordată.

Foundation

Dorim să îi mulțumim pentru asistență lui Jann Horn (Google Project Zero).

HearingCore

Dorim să le mulțumim lui Kirin@Pwnrin și lui LFY@secsys din cadrul Fudan University pentru asistența acordată.

ImageIO

Dorim să îi mulțumim lui D4m0n pentru asistența acordată.

Mail

Dorim să îi mulțumim lui Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau din cadrul The Chinese University of Hong Kong pentru asistența acordată.

Messages

Dorim să îi mulțumim lui parkminchan din cadrul Korea Univ. pentru asistența acordată.

Photos

Dorim să-i mulțumim lui Bistrit Dahal pentru asistența acordată.

Safari Extensions

Dorim să le mulțumim lui Alisha Ukani, lui Pete Snyder și lui Alex C. Snoeren pentru asistența acordată.

Sandbox Profiles

Dorim să îi mulțumim lui Benjamin Hornbeck pentru asistența acordată.

SceneKit

Dorim să-i mulțumim lui Marc Schoenefeld, Dr. rer. nat. pentru asistența acordată.

Security

Dorim să-i mulțumim lui Kevin Jones (GitHub) pentru asistență.

Settings

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) din cadrul C-DAC Thiruvananthapuram India pentru asistența acordată.

Shortcuts

Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.

WebKit

Dorim să îi mulțumim lui Wai Kin Wong, Dongwei Xiao, Shuai Wang și lui Daoyuan Wu din cadrul HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) of VXRL, Wong Wai Kin, Dongwei Xiao și lui Shuai Wang of HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) din cadrul VXRL., lui Xiangwei Zhang din cadrul Tencent Security YUNDING LAB și unui cercetător anonim pentru asistența acordată.