Проблеми системи безпеки, які усунено в оновленні visionOS 2.6
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.6.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 2.6
Дата випуску: 29 липня 2025 р.
afclip
Цільові продукти: Apple Vision Pro
Вплив: аналіз файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-43186: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CFNetwork
Цільові продукти: Apple Vision Pro
Вплив: непривілейований користувач може змінювати налаштування мережі з обмеженим доступом.
Опис: проблему відмови в обслуговуванні вирішено шляхом поліпшення перевірки вводу.
CVE-2025-43223: Andreas Jaegersberger і Ro Achterberg із Nosebeard Labs
CoreAudio
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого аудіофайлу може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2025-43277: група аналізу загроз Google
CoreMedia
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43210: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CoreMedia Playback
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
CVE-2025-43230: Chi Yuan Chang із ZUSO ART і taikosoup
ICU
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43209: Gary Kwong, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2025-43226
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему подвійного вивільнення вирішено завдяки поліпшеному керуванню пам’яттю.
CVE-2025-43282: Christian Kohlschütter
Запис додано 15 жовтня 2025 р.
libxml2
Цільові продукти: Apple Vision Pro
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2025-7425: Sergei Glazunov із Google Project Zero
libxslt
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2025-7424: Ivan Fratric із підрозділу Google Project Zero
Metal
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливої текстури може призводити до неочікуваного завершення роботи програми.
Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2025-43234: Vlad Stolyarov із групи аналізу загроз Google
Model I/O
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2025-43224: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Model I/O
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему перевірки вводу усунуто завдяки поліпшенню обробки пам’яті.
CVE-2025-31281: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
SQLite
Цільові продукти: Apple Vision Pro
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2025-6965
Запис додано 15 жовтня 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до розкриття конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav, Yehuda Afek, Anat Bremler-Barr і Amit Klein
Запис оновлено 15 жовтня 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 292599
CVE-2025-43214: користувач shandikri, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, і Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: відділ безпеки Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) і Ziling Chen
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu та Xiaojie Wei
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) із DEVCORE Research Team
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: проблему Use-After-Free усунуто завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення роботи Safari.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne і Vlad Stolyarov із групи аналізу загроз Google
Додаткова подяка
Bluetooth
Дякуємо за допомогу Lidong Li, Xiao Wang, Shao Dong Chen і Chao Tan із Source Guard.
CoreAudio
Дякуємо за допомогу Noah Weinberg.
Device Management
Дякуємо за допомогу Al Karak.
libxml2
Дякуємо за допомогу Sergei Glazunov із Google Project Zero.
libxslt
Дякуємо за допомогу Ivan Fratric із Google Project Zero.
Shortcuts
Дякуємо за допомогу Dennis Kniep.
WebKit
Дякуємо за допомогу Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei та користувачу rheza (@ginggilBesel).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.