Obsah zabezpečenia v systéme visionOS 2.6

V tomto dokumente sa opisuje obsah zabezpečenia v systéme visionOS 2.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 2.6

afclip

Dostupné pre: Apple Vision Pro

Dosah: Analýza súboru môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43186: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CFNetwork

Dostupné pre: Apple Vision Pro

Dopad: Neprivilegovaný používateľ môže byť schopný upraviť obmedzené sieťové nastavenia

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43223: Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs

CoreAudio

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie audiosúboru so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43277: Tím Threat Analysis Group spoločnosti Google

CoreMedia

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43210: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CoreMedia Playback

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2025-43230: Chi Yuan Chang z tímu ZUSO ART a taikosoup

ICU

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43209: Gary Kwong v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43226

libxml2

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-7425: Sergei Glazunov z tímu Google Project Zero

libxslt

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-7424: Ivan Fratric z tímu Google Project Zero

Metal

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie škodlivo vytvorenej textúry môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2025-43234: Vlad Stolyarov zo skupiny Threat Analysis Group spoločnosti Google

Model I/O

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43224: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2025-43221: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

Model I/O

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31281: Michael DePlante (@izobashi) z projektu Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2025-43227: Gilad Moav

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43214: shandikri v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Google V8 Security Team

CVE-2025-43213: Google V8 Security Team

CVE-2025-43212: Nan Wang (@eternalsakura13) a Ziling Chen

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu a Xiaojie Wei

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže odhaliť interné stavy apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43265: HexRabbit (@h3xr4bb1t) z tímu DEVCORE Research Team

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6558: Clément Lecigne a Vlad Stolyarov z tímu Threat Analysis Group spoločnosti Google

Ďalšie poďakovanie

Bluetooth

Poďakovanie za pomoc si zaslúžia LIdong LI, Xiao Wang, Shao Dong Chen a Chao Tan z tímu Source Guard.

CoreAudio

Poďakovanie za pomoc si zaslúži Noah Weinberg.

Device Management

Poďakovanie za pomoc si zaslúži Al Karak.

libxml2

Poďakovanie za pomoc si zaslúži Sergei Glazunov z tímu Google Project Zero.

libxslt

Poďakovanie za pomoc si zaslúži Ivan Fratric z tímu Google Project Zero.

Shortcuts

Poďakovanie za pomoc si zaslúži Dennis Kniep.

WebKit

Poďakovanie za pomoc si zaslúžia Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei a rheza (@ginggilBesel).