Informácie o obsahu zabezpečenia systému visionOS 2.4

Tento dokument opisuje obsah zabezpečenia systému visionOS 2.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 2.4

Accounts

Dostupné pre: Apple Vision Pro

Dopad: Citlivé údaje z kľúčenky môžu byť prístupné zo zálohy iOS

Popis: Tento problém bol vyriešený vylepšením obmedzenia prístupu k dátam.

CVE-2025-24221: Lehan Dilusha (@zafer) a anonymný výskumník

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Neoverený používateľ v rovnakej sieti ako prihlásený Mac by mu mohol posielať príkazy AirPlay bez spárovania

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže byť schopný poškodiť pamäť procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže spôsobiť neočakávané ukončenie apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže byť schopný obísť pravidlá autentifikácie

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná obísť funkciu zabezpečenia ASLR

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43205: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Audio

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24243: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Authentication Services

Dostupné pre: Apple Vision Pro

Dopad: Funkcia automatického vypĺňania hesiel môže po neúspešnej autentifikácii vypĺňať heslá

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30430: Dominik Rath

Authentication Services

Dostupné pre: Apple Vision Pro

Dopad: Webová stránka so škodlivým kódom môže byť schopná požiadať o poverenia WebAuthn z inej webovej stránky, ktorá zdieľa registrovateľnú príponu

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-24180: Martin Kreichgauer z tímu Google Chrome

BiometricKit

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Dostupné pre: Apple Vision Pro

Dopad: Prehrávanie audiosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24230: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31196: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24211: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24190: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreText

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24182: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreUtils

Dostupné pre: Apple Vision Pro

Dopad: Útočník v lokálnej sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Dostupné pre: Apple Vision Pro

Dopad: Riešil sa problém s overovaním vstupov

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a identifikátore CVE-ID nájdete na cve.org.

CVE-2024-9681

Focus

Dostupné pre: Apple Vision Pro

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-30439: Andr.Ess

Focus

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vyčistením protokolovania.

CVE-2025-30447: LFY@secsys z Fudan University

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Rozbor obrázka môže viesť k odhaleniu informácií o používateľovi

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2025-24210: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOGPUFamily

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-24257: Wang Yu z tímu Cyberserval

Kernel

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom sa môže pokúšať o zadanie prístupového kódu na uzamknutom zariadení, a tak po 4 zlyhaniach spôsobiť narastajúce časové oneskorenie.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Dostupné pre: Apple Vision Pro

Dopad: Riešil sa problém s overovaním vstupov

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a identifikátore CVE-ID nájdete na cve.org.

CVE-2024-48958

libnetcore

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-24194: Anonymný výskumník

libxml2

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a identifikátore CVE-ID nájdete na cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2025-31182: Alex Radocea a Dave G. z tímu Supernetworks, 风沐云烟 (@binary_fmyy) a Minghao Lin (@Y1nKoc)

Logging

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) zo spoločnosti Microsoft, Alexia Wilson zo spoločnosti Microsoft, Christine Fossaceca zo spoločnosti Microsoft

Maps

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením logiky.

CVE-2025-30470: LFY@secsys z Fudan University

NetworkExtension

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-30426: Jimmy

Power Services

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Dostupné pre: Apple Vision Pro

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Dostupné pre: Apple Vision Pro

Dopad: Webová stránka môže byť schopná obísť mechanizmus SOP (Same Origin Policy)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Dostupné pre: Apple Vision Pro

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Tento problém bol vyriešený vylepšením používateľského rozhrania.

CVE-2025-24113: @RenwaX23

Security

Dostupné pre: Apple Vision Pro

Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai zo skupiny Alibaba Group, Luyi Xing z Indiana University Bloomington

Share Sheet

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom môže byť schopná zrušiť systémové oznámenie na uzamknutej obrazovke, že sa spustilo nahrávanie.

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Dostupné pre: Apple Vision Pro

Dopad: Skratka môže mať prístup k súborom, ktoré sú pre apku Skratky bežne nedostupné.

Popis: Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2025-30433: Andrew James Gonzalez

Siri

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Problém s ochranou súkromia bol vyriešený neprotokolovaním obsahu textových polí.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Dostupné pre: Apple Vision Pro

Dopad: Apka môže získať neoprávnený prístup k lokálnej sieti

Popis: Tento problém bol vyriešený pomocou vylepšenej kontroly oprávnení.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt a Mathy Vanhoef (@vanhoefm) a Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Dostupné pre: Apple Vision Pro

Dopad: Návšteva webovej stránky môže viesť k úniku citlivých dát

Popis: Problém s importom skriptov bol vyriešený pomocou vylepšenej izolácie.

CVE-2025-24192: Vsevolod Kokorin (Slonser) z tímu Solidlab

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24264: Gary Kwong a anonymný výskumník

CVE-2025-24216: Paul Bakker z tímu ParagonERP

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-30427: rheza (@ginggilBesel)

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy Lakshmi Narain College of Technology Bhopal India, Richard Hyunho Im (@richeeta) s routezero.security.

AirPlay

Poďakovanie za pomoc si zaslúži Uri Katz (Oligo Security).

Apple Account

Poďakovanie za pomoc si zaslúži Byron Fecho.

FaceTime

Poďakovanie za pomoc si zaslúžia anonymný výskumník, Dohyun Lee (@l33d0hyun) z projektu USELab, Kórejská univerzita a Youngho Choi z CEL, Kórejská univerzita a Geumhwan Cho z projektu USELab, Kórejská univerzita.

Find My

Poďakovanie za pomoc si zaslúži 神罚 (@Pwnrin).

Foundation

Poďakovanie za pomoc si zaslúži Jann Horn z tímu Google Project Zero.

HearingCore

Poďakovanie za pomoc si zaslúžia Kirin@Pwnrin a LFY@secsys z univerzity Fudan.

ImageIO

Poďakovanie za pomoc si zaslúži D4m0n.

Mail

Poďakovanie za pomoc si zaslúžia Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau z Čínskej univerzity v Hong Kongu.

Messages

Poďakovanie za pomoc si zaslúži parkminchan z Kórejskej univerzity.

Photos

Poďakovanie za pomoc si zaslúži Bistrit Dahal.

Safari Extensions

Poďakovanie za pomoc si zaslúžia Alisha Ukani, Pete Snyder, Alex C. Snoeren.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Benjamin Hornbeck.

SceneKit

Poďakovanie za pomoc si zaslúži Marc Schoenefeld, Dr. rer. nat.

Security

Poďakovanie sa pomoc si zaslúži Kevin Jones (GitHub).

Settings

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii.

Shortcuts

Poďakovanie za pomoc si zaslúži Chi Yuan Chang z ZUSO ART a taikosoup.

WebKit

Poďakovanie za pomoc si zaslúžia Wai Kin Wong, Dongwei Xiao, Shuai Wang a Daoyuan Wu z projektu HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) zo spoločnosti VXRL, Wong Wai Kin, Dongwei Xiao a Shuai Wang z projektu HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) zo spoločnosti VXRL., Xiangwei Zhang zo spoločnosti Tencent Security YUNDING LAB a anonymný výskumník.