Проблеми системи безпеки, які усунено в оновленні visionOS 2.3
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.3.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 2.3
Дата випуску: 27 січня 2025 р.
AirPlay
Цільові продукти: Apple Vision Pro
Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.
Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.
CVE-2025-24179: Uri Katz (Oligo Security)
Запис додано 28 квітня 2025 р.
AirPlay
Цільові продукти: Apple Vision Pro
Вплив: зловмисник у локальній мережі може спричинити пошкодження пам’яті процесу.
Опис: проблему, пов’язану з перевіркою вводу, вирішено.
CVE-2025-24126: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: Apple Vision Pro
Вплив: зловмисник у локальній мережі може спричинити несподіване завершення роботи програми.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2025-24129: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: Apple Vision Pro
Вплив: зловмисник у локальній мережі може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24131: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
AirPlay
Цільові продукти: Apple Vision Pro
Вплив: зловмисник у локальній мережі може пошкодити пам’ять процесу.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2025-24137: Uri Katz (Oligo Security)
Запис оновлено 28 квітня 2025 р.
ARKit
Цільові продукти: Apple Vision Pro
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu та Xingwei Lin із Zhejiang University
CoreAudio
Цільові продукти: Apple Vision Pro
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24160: група аналізу загроз Google
CVE-2025-24161: група аналізу загроз Google
CVE-2025-24163: група аналізу загроз Google
CoreMedia
Цільові продукти: Apple Vision Pro
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2025-24123: Desmond у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) у співпраці з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
CoreMedia
Цільові продукти: Apple Vision Pro
Вплив: шкідлива програма може підвищувати рівень привілеїв. Компанії Apple відомо про те, що ця проблема могла активно використовуватися у версіях iOS, випущених до iOS 17.2.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2025-24085
CoreMedia Playback
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) і Lee Dong Ha (Who4mI)
Запис додано 16 травня 2025 р.
Display
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2025-24111: Wang Yu із CyberServal
Запис додано 12 травня 2025 р.
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-24086: DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) в Enki WhiteHat, D4m0n
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Запис додано 12 травня 2025 р.
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Цільові продукти: Apple Vision Pro
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено завдяки вдосконаленню маскування конфіденційної інформації.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
libxslt
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-55549: Ivan Fratric із Google Project Zero
CVE-2025-24855: Ivan Fratric із Google Project Zero
Запис додано 16 травня 2025 р.
PackageKit
Цільові продукти: Apple Vision Pro
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-31262: Mickey Jin (@patch1t)
Запис додано 16 травня 2025 р.
Safari
Цільові продукти: Apple Vision Pro
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему вирішено завдяки вдосконаленню інтерфейсу користувача.
CVE-2025-24113: @RenwaX23
SceneKit
Цільові продукти: Apple Vision Pro
Вплив: аналіз файлу може призводити до розкриття інформації про користувача.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-24149: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
WebContentFilter
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2025-24154: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 284332
CVE-2025-24189: анонімний дослідник
Запис додано 16 травня 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: шкідлива вебсторінка може ідентифікувати користувача.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу до файлової системи.
WebKit Bugzilla: 283117
CVE-2025-24143: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) із NUS CuriOSity і P1umer (@p1umer) з Imperial Global Singapore
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy із HKUS3Lab і chluo з WHUSecLab
Додаткова подяка
Audio
Дякуємо за допомогу групі аналізу загроз Google.
CoreAudio
Дякуємо за допомогу групі аналізу загроз Google.
Files
Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.
Guest User
Дякуємо за допомогу Jake Derouin.
iCloud
Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян (Бхопал, Індія), George Kovaios і Srijan Poudel.
Запис додано 16 травня 2025 р.
Passwords
Дякуємо за допомогу Talal Haj Bakry і Tommy Mysk із Mysk Inc. @mysk_co.
Static Linker
Дякуємо за допомогу Holger Fuhrmannek.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.