visionOS 2.4'ün güvenlik içeriği hakkında

Bu belgede visionOS 2.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 2.4

Accounts

İlgili ürün: Apple Vision Pro

Etki: Hassas anahtar zinciri verilerine bir iOS yedeklemesinden erişilebilir

Açıklama: Veri erişimi sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2025-24221: Lehan Dilusha (@zafer) ve anonim bir araştırmacı

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Giriş yapılmış bir Mac ile aynı ağda bulunan kimliği doğrulanmamış bir kullanıcı, eşleme yapılmadan AirPlay komutları gönderebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, işlem belleğin bozulmasına neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, kimlik doğrulama politikasını atlatabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, ASLR'yi atlayabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2025-43205: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Audio

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24243: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Authentication Services

İlgili ürün: Apple Vision Pro

Etki: Parolaları otomatik doldurma özelliği, kimlik doğrulaması başarısız olduktan sonra parolaları doldurabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2025-30430: Dominik Rath

Authentication Services

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, kaydedilebilir bir son eki paylaşan başka bir web sitesinden WebAuthn kimlik bilgilerini talep edebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sorun giderildi.

CVE-2025-24180: Google Chrome'dan Martin Kreichgauer

BiometricKit

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

İlgili ürün: Apple Vision Pro

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24163: Google Tehdit Analiz Grubu

CoreAudio

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2025-24230: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreGraphics

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçla geliştirilmiş bir dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2025-31196: Trend Micro Zero Day Initiative ile çalışan wac

CoreMedia

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2025-24211: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreMedia

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24190: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreText

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2025-24182: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreUtils

İlgili ürün: Apple Vision Pro

Etki: Yerel ağdaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

İlgili ürün: Apple Vision Pro

Etki: Bir giriş doğrulama sorunu giderildi

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-9681

Focus

İlgili ürün: Apple Vision Pro

Etki: Kilitli aygıta fiziksel erişimi olan bir saldırgan, kullanıcıların hassas bilgilerini görebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-30439: Andr.Ess

Focus

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bir günlük kaydı sorunu, veri düzenleme işlemi iyileştirilerek giderildi

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sorun, günlük kaydı temizlenerek çözüldü

CVE-2025-30447: Fudan University'den LFY@secsys

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntünün ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Hata işleme iyileştirilerek bir mantık hatası giderildi.

CVE-2025-24210: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

IOGPUFamily

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2025-24257: Cyberserval'dan Wang Yu

Kernel

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kilitli bir cihazda parola girme girişimlerinde bulunabilir ve bu durum, 4 hatadan sonra artan zaman gecikmelerine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

İlgili ürün: Apple Vision Pro

Etki: Bir giriş doğrulama sorunu giderildi

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-48958

libnetcore

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2025-24194: Anonim bir araştırmacı

libxml2

İlgili ürün: Apple Vision Pro

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-27113

CVE-2024-56171

libxpc

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2025-31182: Supernetworks'ten Alex Radocea ve Dave G., 风沐云烟(@binary_fmyy) ve Minghao Lin(@Y1nKoc)

Logging

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bir günlük kaydı sorunu, veri düzenleme işlemi iyileştirilerek giderildi

CVE-2025-31199: Microsoft'tan Jonathan Bar Or (@yo_yo_yo_jbo), Microsoft'tan Alexia Wilson, Microsoft'tan Christine Fossaceca

Maps

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Mantık işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2025-30470: Fudan University'den LFY@secsys

NetworkExtension

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2025-30426: Jimmy

Power Services

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

İlgili ürün: Apple Vision Pro

Etki: Bir web sitesi, Aynı Kaynak Politikası'nı atlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2025-30466: Jaydev Ahire, @RenwaX23

Safari

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Kullanıcı arabiriminin iyileştirilmesiyle sorun giderildi.

CVE-2025-24113: @RenwaX23

Security

İlgili ürün: Apple Vision Pro

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2025-30471: Alibaba Group'tan Bing Shi, Wenchao Li, Xiaolong Bai, Indiana University Bloomington'dan Luyi Xing

Share Sheet

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı bir uygulama, Kilit Ekranında bir kaydın başlatıldığına dair sistem bildirimini kapatabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

İlgili ürün: Apple Vision Pro

Etki: Bir kestirme, normalde Kestirmeler uygulamasının erişimi olmayan dosyalara erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2025-30433: Andrew James Gonzalez

Siri

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Metin alanlarının içerikleri günlüğe kaydedilmeyerek bir gizlilik sorunu giderildi.

CVE-2025-24214: Kirin (@Pwnrin)

Web Extensions

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, Yerel Ağa yetkisiz erişim sağlayabilir

Açıklama: İzin kontrolü iyileştirilerek bu sorun giderildi.

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt & Mathy Vanhoef (@vanhoefm) ve Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

İlgili ürün: Apple Vision Pro

Etki: Bir web sitesini ziyaret etmek hassas bilgilerin sızdırılmasına neden olabilir

Açıklama: Bir betik içe aktarma sorunu, izolasyon işlemi iyileştirilerek çözüldü

CVE-2025-24192: Solidlab'den Vsevolod Kokorin (Slonser)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24264: Gary Kwong ve anonim bir araştırmacı

CVE-2025-24216: ParagonERP'den Paul Bakker

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2025-30427: rheza (@ginggilBesel)

Ek teşekkür listesi

Accessibility

Yardımları için Hindistan'daki Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia), routezero.security ile çalışan Richard Hyunho Im'e (@richeeta) teşekkür ederiz.

AirPlay

Uri Katz'a (Oligo Security) yardımları için teşekkür ederiz.

Apple Account

Byron Fecho'ya yardımları için teşekkür ederiz.

FaceTime

Anonim bir araştırmacıya, USELab'dan Dohyun Lee'ye (@l33d0hyun), Korea University ve CEL'den Youngho Choi'ye, Korea University ve USELab'den Geumhwan Cho'ya, Korea University'ye yardımları için teşekkür ederiz.

Find My

神罚'ya (@Pwnrin) yardımları için teşekkür ederiz.

Foundation

Google Project Zero'dan Jann Horn'a yardımı için teşekkür ederiz.

HearingCore

Fudan University'den Kirin@Pwnrin ve LFY@secsys'e yardımları için teşekkür ederiz.

ImageIO

D4m0n'a yardımları için teşekkür ederiz.

Mail

Yardımları için The Chinese University of Hong Kong Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau'ya teşekkür ederiz.

Messages

Korea Univ.den parkminchan'a yardımları için teşekkür ederiz.

Photos

Yardımları için Bistrit Dahal'a teşekkür ederiz.

Safari Extensions

Alisha Ukani, Pete Snyder ve Alex C. Snoeren'e yardımları için teşekkür ederiz.

Sandbox Profiles

Benjamin Hornbeck'e yardımı için teşekkür ederiz.

SceneKit

Dr. Rer. Nat. Marc Schoenefeld'e yardımları için yardımları için teşekkür ederiz.

Security

Kevin Jones'a (GitHub) yardımları için teşekkür ederiz.

Settings

Hindistan'daki C-DAC Thiruvananthapuram'dan Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Shortcuts

ZUSO ART'tan Chi Yuan Chang'a ve taikosoup'a yardımları için teşekkür ederiz.

WebKit

Yardımları için HKUST Cybersecurity Lab'den Wai Kin Wong, Dongwei Xiao, Shuai Wang ve Daoyuan Wu'ya, VXRL'den Anthony Lai'ye (@darkfloyd1014), HKUST Cybersecurity Lab'den Wong Wai Kin, Dongwei Xiao ve Shuai Wang'a VXRL'den Anthony Lai'ye (@darkfloyd1014), Tencent Security YUNDING LAB'den Xiangwei Zhang'a ve anonim bir araştırmacıya teşekkür ederiz.