Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 2.3
В этом документе описаны проблемы системы безопасности, устраняемые обновлением visionOS 2.3.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
visionOS 2.3
Дата выпуска: 27 января 2025 г.
AirPlay
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.
CVE-2025-24179: Uri Katz (Oligo Security)
Запись добавлена 28 апреля 2025 г.
AirPlay
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник, находящийся в локальной сети, может повредить память процессов.
Описание. Устранена проблема, связанная с проверкой ввода.
CVE-2025-24126: Uri Katz (Oligo Security)
Запись обновлена 28 апреля 2025 г.
AirPlay
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать неожиданное завершение работы приложения.
Описание. Проблема смешения типов устранена путем улучшенных проверок.
CVE-2025-24129: Uri Katz (Oligo Security)
Запись обновлена 28 апреля 2025 г.
AirPlay
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24131: Uri Katz (Oligo Security)
Запись обновлена 28 апреля 2025 г.
AirPlay
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник, находящийся в локальной сети, может повредить память процессов.
Описание. Проблема смешения типов устранена путем улучшенных проверок.
CVE-2025-24137: Uri Katz (Oligo Security)
Запись обновлена 28 апреля 2025 г.
ARKit
Доступно для: Apple Vision Pro
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета
CoreAudio
Доступно для: Apple Vision Pro
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24160: подразделение Threat Analysis Group компании Google
CVE-2025-24161: подразделение Threat Analysis Group компании Google
CVE-2025-24163: подразделение Threat Analysis Group компании Google
CoreMedia
Доступно для: Apple Vision Pro
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CoreMedia
Доступно для: Apple Vision Pro
Воздействие. Вредоносное приложение может повысить уровень привилегий. Apple известно о том, что эта проблема могла активно использоваться в версиях iOS, выпущенных до iOS 17.2.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2025-24085
CoreMedia Playback
Доступно для: Apple Vision Pro
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI)
Запись добавлена 16 мая 2025 г.
Display
Доступно для: Apple Vision Pro
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2025-24111: Wang Yu из CyberServal
Запись добавлена 12 мая 2025 г.
ImageIO
Доступно для: Apple Vision Pro
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n
Kernel
Доступно для: Apple Vision Pro
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема утечки информации решена посредством удаления уязвимого кода.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Запись добавлена 12 мая 2025 г.
Kernel
Доступно для: Apple Vision Pro
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Доступно для: Apple Vision Pro
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Доступно для: Apple Vision Pro
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-55549: Ivan Fratric из Google Project Zero
CVE-2025-24855: Ivan Fratric из Google Project Zero
Запись добавлена 16 мая 2025 г.
PackageKit
Доступно для: Apple Vision Pro
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2025-31262: Mickey Jin (@patch1t)
Запись добавлена 16 мая 2025 г.
Safari
Доступно для: Apple Vision Pro
Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.
Описание. Проблема устранена путем улучшения пользовательского интерфейса.
CVE-2025-24113: @RenwaX23
SceneKit
Доступно для: Apple Vision Pro
Воздействие. Анализ файла может приводить к раскрытию данных пользователя.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
WebContentFilter
Доступно для: Apple Vision Pro
Воздействие. Злоумышленник может вызывать неожиданное завершение работы системы или повреждать память ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2025-24154: анонимный исследователь
WebKit
Доступно для: Apple Vision Pro
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 284332
CVE-2025-24189: анонимный исследователь
Запись добавлена 16 мая 2025 г.
WebKit
Доступно для: Apple Vision Pro
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена путем улучшения ограничений доступа к файловой системе.
WebKit Bugzilla: 283117
CVE-2025-24143: анонимный исследователь
WebKit
Доступно для: Apple Vision Pro
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global (Сингапур)
WebKit
Доступно для: Apple Vision Pro
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy из HKUS3Lab и chluo of WHUSecLab
Дополнительные благодарности
Audio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
CoreAudio
Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.
Files
Выражаем благодарность за помощь Chi Yuan Chang из ZUSO ART и пользователю taikosoup.
Guest User
Выражаем благодарность за помощь Jake Derouin.
iCloud
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина (Бхопал, Индия), George Kovaios и Srijan Poudel.
Запись добавлена 16 мая 2025 г.
Passwords
Выражаем благодарность за помощь Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co).
Static Linker
Выражаем благодарность за помощь Holger Fuhrmannek.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.