A visionOS 2.3 biztonsági változásjegyzéke

Ez a dokumentum a visionOS 2.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

visionOS 2.3

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni vagy károsítani tudták a feldolgozási memóriát a helyi hálózaton

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University

CoreAudio

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

ImageIO

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n

Kernel

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Safari

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

Leírás: A probléma a felhasználói felület továbbfejlesztésével hárult el.

CVE-2025-24113: @RenwaX23

SceneKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

WebContentFilter

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2025-24154: anonim kutató

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: A fájlrendszerhez való hozzáférés hatékonyabb korlátozásával küszöböltük ki a problémát.

CVE-2025-24143: anonim kutató

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24158: Q1IQ (@q1iqF, NUS CuriOSity) és P1umer (@p1umer, Imperial Global Singapore)

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab

További köszönetnyilvánítás

Audio

Köszönjük a Google Threat Analysis Group segítségét.

CoreAudio

Köszönjük a Google Threat Analysis Group segítségét.

CoreMedia Playback

Köszönjük Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI) segítségét.

Fájlok

Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

Guest User

Köszönjük Jake Derouin segítségét.

Passwords

Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.

Static Linker

Köszönjük Holger Fuhrmannek segítségét.