Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 2.6

В этом документе описаны проблемы системы безопасности, устраняемые обновлением visionOS 2.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 2.6

afclip

Доступно для: Apple Vision Pro

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43186: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

CFNetwork

Доступно для: Apple Vision Pro

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CoreAudio

Доступно для: Apple Vision Pro

Воздействие. При обработке вредоносного аудиофайла возможно повреждение памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43277: подразделение Threat Analysis Group компании Google

CoreMedia

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43210: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

CoreMedia Playback

Доступно для: Apple Vision Pro

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок разрешений.

CVE-2025-43230: Chi Yuan Chang из ZUSO ART и пользователь taikosoup

ICU

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43209: Gary Kwong в рамках программы Trend Micro Zero Day Initiative

ImageIO

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43226

libxml2

Доступно для: Apple Vision Pro

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-7425: Sergei Glazunov из Google Project Zero

libxslt

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-7424: Ivan Fratric из Google Project Zero

Metal

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43234: Vlad Stolyarov из подразделения Threat Analysis Group компании Google

Model I/O

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43224: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative

Model I/O

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.

CVE-2025-31281: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43227: Gilad Moav

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43214: shandikri в рамках программы Trend Micro Zero Day Initiative и Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) и Ziling Chen

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) из исследовательской группы DEVCORE

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из подразделения Threat Analysis Group компании Google

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь LIdong LI, Xiao Wang, Shao Dong Chen и Chao Tan из Source Guard.

CoreAudio

Выражаем благодарность за помощь пользователю Noah Weinberg.

Device Management

Выражаем благодарность за помощь пользователю Al Karak.

libxml2

Выражаем благодарность за помощь Sergei Glazunov из подразделения Google Project Zero.

libxslt

Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.

Shortcuts

Выражаем благодарность за помощь пользователю Dennis Kniep.

WebKit

Выражаем благодарность за помощь Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei и пользователю rheza (@ginggilBesel).