Informacije o sigurnosnom sadržaju sustava visionOS 2.3.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 2.3

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadači na lokalne mreže mogli su izazvati neočekivan pad sustava ili oštećenje procesne memorije

Opis: riješen je problem s provjerom valjanosti unosa.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin (Sveučilište Zhejiang)

CoreAudio

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24160: Googleov tim Threat Analysis Group

CVE-2025-24161: Googleov tim Threat Analysis Group

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24123: Desmond i inicijativa Zero Day (Trend Micro)

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 17.2.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24085

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Safari

Dostupno za: Apple Vision Pro

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim korisničkim sučeljem.

CVE-2025-24113: @RenwaX23

SceneKit

Dostupno za: Apple Vision Pro

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-24149: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

WebContentFilter

Dostupno za: Apple Vision Pro

Učinak: napadači su mogli izazvati neočekivan pad sustava ili oštećenje kernelske memorije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24154: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem je riješen poboljšanjem ograničenja pristupa datotečnom sustavu.

CVE-2025-24143: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) i P1umer (@p1umer) (Imperial Global Singapore)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24162: linjy (HKUS3Lab) i chluo (WHUSecLab)

Dodatna zahvala

audio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreAudio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreMedia Playback

Na pomoći zahvaljujemo Song Hyun Baeu (@bshyuunn) i Lee Dong Hau (Who4mI).

Datoteke

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Guest User

Na pomoći zahvaljujemo Jakeu Derouinu.

Passwords

Na pomoći zahvaljujemo Talalu Haj Bakryju i Tommyju Mysku (Mysk Inc. @mysk_co).

Static Linker

Na pomoći zahvaljujemo Holgeru Fuhrmanneku.