Informácie o obsahu zabezpečenia systému visionOS 2.5

Tento dokument opisuje obsah zabezpečenia systému visionOS 2.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 2.5

AppleJPEG

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31251: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Core Bluetooth

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-31212: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

CoreAudio

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31208: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreGraphics

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-31209: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-31239: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31233: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

iCloud Document Sharing

Dostupné pre: Apple Vision Pro

Dopad: Útočník môže byť schopný zapnúť zdieľanie priečinka v iCloude bez overenia

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2025-30448: Dayton Pidhirney z tímu Atredis Partners, Lyutoon a YenKoc

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2025-31226: Saagar Jha

Kernel

Dostupné pre: Apple Vision Pro

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Dostupné pre: Apple Vision Pro

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31219: Michael DePlante (@izobashi) a Lucas Leong (@_wmliang_) z projektu Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: Apple Vision Pro

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31241: Christian Kohlschütter

libexpat

Dostupné pre: Apple Vision Pro

Dopad: Viacero problémov v komponente libexpat vrátane neočakávaného ukončenia apky alebo spustenia ľubovoľného kódu

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-8176

mDNSResponder

Dostupné pre: Apple Vision Pro

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31245: wac

Pro Res

Dostupné pre: Apple Vision Pro

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2025-31234: CertiK (@CertiK)

Security

Dostupné pre: Apple Vision Pro

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-31221: Dave G.

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Problém so zámenou typu môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením spracovania floatov.

CVE-2025-24213: Google V8 Security Team

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31223: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CVE-2025-31238: wac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-24223: rheza (@ginggilBesel) a anonymný výskumník

CVE-2025-31204: Nan Wang (@eternalsakura13)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31215: Jiming Wang a Jikai Ren

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2025-31206: Anonymný výskumník

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2025-31205: Ivan Fratric z tímu Google Project Zero

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Tento problém bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31257: Juergen Schmied z tímu Lynck GmbH

Ďalšie poďakovanie

AirDrop

Poďakovanie za pomoc si zaslúži Dalibor Milanovic.

Kernel

Poďakovanie za pomoc si zaslúži anonymný výskumník.

libnetcore

Poďakovanie za pomoc si zaslúži Hoffcona z tímu ByteDance IES Red Team.

MobileGestalt

Poďakovanie za pomoc si zaslúži iisBuri.

NetworkExtension

Poďakovanie za pomoc si zaslúži Andrei-Alexandru Bleorțu.

Safari

Poďakovanie za pomoc si zaslúžia Akash Labade a Narendra Bhati, manažér kyberbezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India).

Shortcuts

Poďakovanie za pomoc si zaslúžia Candace Jensen z tímu Kandji, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Egor Filatov (Positive Technologies) a Monnier Pascaud.

WebKit

Poďakovanie za pomoc si zaslúžia Mike Dougherty a Daniel White z tímu Google Chrome a anonymný výskumník.