Om säkerhetsinnehållet i visionOS 2.4

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 2.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

visionOS 2.4

Accounts

Tillgängligt för: Apple Vision Pro

Effekt: Känsliga nyckelringsdata kan vara tillgängliga från en iOS-säkerhetskopia

Beskrivning: Problemet åtgärdades genom begränsad dataåtkomst.

CVE-2025-24221: Lehan Dilusha (@zafer) och en anonym forskare

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En obehörig användare på samma nätverk som en inloggad Mac kan skicka AirPlay-kommandon till den utan parkoppling

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan läcka känslig användarinformation

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan korrumpera processminnet

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan kringgå autentiseringspolicyn

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan orsaka ett oväntat systemavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Tillgängligt för: Apple Vision Pro

Effekt: En app kan kringgå ASLR

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-43205: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Audio

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24243: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

Authentication Services

Tillgängligt för: Apple Vision Pro

Effekt: Automatisk ifyllnad av lösenord kan fylla i lösenord efter misslyckad autentisering

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30430: Dominik Rath

Authentication Services

Tillgängligt för: Apple Vision Pro

Effekt: En skadlig webbplats kan begära WebAuthn-inloggningsuppgifter från en annan webbplats som delar ett registrerbart suffix

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

CVE-2025-24180: Martin Kreichgauer på Google Chrome

BiometricKit

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Tillgängligt för: Apple Vision Pro

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Tillgängligt för: Apple Vision Pro

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Tillgängligt för: Apple Vision Pro

Effekt: Uppspelning av en skadlig ljudfil kanske kan leda till oväntat appavslut

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24230: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreGraphics

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-31196: wac i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en videofil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet åtgärdades med förbättrad minneshantering.

CVE-2025-24211: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en videofil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24190: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreText

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kanske kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24182: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreUtils

Tillgängligt för: Apple Vision Pro

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Tillgängligt för: Apple Vision Pro

Effekt: Ett problem med indatavalidering åtgärdades

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-9681

Focus

Tillgängligt för: Apple Vision Pro

Effekt: En angripare med fysisk åtkomst till en låst enhet kan visa känslig användarinformation

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-30439: Andr.Ess

Focus

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet löstes genom rensning av loggningar

CVE-2025-30447: LFY@secsys från Fudan University

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en bild kanske kan leda till att användarinformation avslöjas

Beskrivning: Ett logikfel åtgärdades genom förbättrad filhantering.

CVE-2025-24210: Anonym i samarbete med Trend Micro Zero Day Initiative

IOGPUFamily

Tillgängligt för: Apple Vision Pro

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24257: Wang Yu på Cyberserval

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En skadlig app kanske kan försöka ange lösenkod på en låst enhet och därmed orsaka eskalerande tidsfördröjningar efter 4 misslyckanden

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Tillgängligt för: Apple Vision Pro

Effekt: Ett problem med indatavalidering åtgärdades

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-48958

libnetcore

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2025-24194: En anonym forskare

libxml2

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kanske kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Tillgängligt för: Apple Vision Pro

Effekt: En app kan kanske radera filer som den inte har behörighet till

Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.

CVE-2025-31182: Alex Radocea och Dave G. på Supernetworks, 风沐云烟(@binary_fmyy) och Minghao Lin(@Y1nKoc)

Logging

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) på Microsoft, Alexia Wilson på Microsoft, Christine Fossaceca på Microsoft

Maps

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad logik.

CVE-2025-30470: LFY@secsys från Fudan University

NetworkExtension

Tillgängligt för: Apple Vision Pro

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-30426: Jimmy

Power Services

Tillgängligt för: Apple Vision Pro

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

Tillgängligt för: Apple Vision Pro

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

Tillgängligt för: Apple Vision Pro

Effekt: En webbplats kan kringgå principen för samma ursprung

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

Tillgängligt för: Apple Vision Pro

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-24113: @RenwaX23

Security

Tillgängligt för: Apple Vision Pro

Effekt: En fjärrangripare kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai på Alibaba Group, Luyi Xing på Indiana University Bloomington

Share Sheet

Tillgängligt för: Apple Vision Pro

Effekt: En skadlig app kanske kan avfärda systemmeddelandet på låsskärmen om att en inspelning har startats

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Tillgängligt för: Apple Vision Pro

Effekt: En genväg kanske kan få åtkomst till filer som appen Shortcuts normalt inte kan få åtkomst till

Beskrivning: Problemet åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2025-30433: Andrew James Gonzalez

Siri

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett integritetsproblem åtgärdades genom att innehållet i textfält inte loggas.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

Tillgängligt för: Apple Vision Pro

Effekt: En app kan få obehörig åtkomst till lokalt nätverk

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) och Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

Tillgängligt för: Apple Vision Pro

Effekt: Besök på en webbplats kan läcka känsliga data

Beskrivning: Ett problem med import av skript åtgärdades med förbättrad isolering.

CVE-2025-24192: Vsevolod Kokorin (Slonser) på Solidlab

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24264: Gary Kwong och en anonym forskare

CVE-2025-24216: Paul Bakker på ParagonERP

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2025-30427: rheza (@ginggilBesel)

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal, Indien, Richard Hyunho Im (@richeeta) med routezero.security för hjälpen.

AirPlay

Vi vill tacka Uri Katz (Oligo Security) för hjälpen.

Apple Account

Vi vill tacka Byron Fecho för hjälpen.

FaceTime

Vi vill tacka anonym, Dohyun Lee (@l33d0hyun) på USELab, Korea University och Youngho Choi på CEL, Korea University och Geumhwan Cho på USELab, Korea University för hjälpen.

Find My

Vi vill tacka 神罚(@Pwnrin) för hjälpen.

Foundation

Vi vill tacka Jann Horn på Google Project Zero för hjälpen.

HearingCore

Vi vill tacka Kirin@Pwnrin och LFY@secsys från Fudan University för hjälpen.

ImageIO

Vi vill tacka D4m0n för hjälpen.

Mail

Vi vill tacka Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau på The Chinese University of Hong Kong för hjälpen.

Messages

Vi vill tacka parkminchan från Korea Univ. för hjälpen.

Photos

Vi vill tacka Bistrit Dahal för hjälpen.

Safari Extensions

Vi vill tacka Alisha Ukani, Pete Snyder, Alex C. Snoeren för hjälpen.

Sandbox Profiles

Vi vill tacka Benjamin Hornbeck för hjälpen.

SceneKit

Vi vill tacka Marc Schoenefeld, Dr. rer. nat. för hjälpen.

Security

Vi vill tacka Kevin Jones (GitHub) för hjälpen.

Settings

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på C-DAC Thiruvananthapuram Indien för hjälpen.

Shortcuts

Vi vill tacka Chi Yuan Chang på ZUSO ART och taikosoup för hjälpen.

WebKit

Vi vill tacka Wai Kin Wong, Dongwei Xiao, Shuai Wang och Daoyuan Wu på HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) på VXRL, Wong Wai Kin, Dongwei Xiao och Shuai Wang på HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) på VXRL., Xiangwei Zhang på Tencent Security YUNDING LAB, och en anonym forskare för hjälpen.