Informazioni sui contenuti di sicurezza di visionOS 2.3
In questo documento vengono descritti i contenuti di sicurezza di visionOS 2.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
visionOS 2.3
Data di rilascio: 27 gennaio 2025
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato potrebbe essere in grado di causare la terminazione imprevista del sistema o di corrompere la memoria dei processi
Descrizione: è stato risolto un problema di convalida dell'input.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato potrebbe causare la chiusura imrpovvisa dell'app
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe essere in grado di causare un'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu e Xingwei Lin della Zhejiang University
CoreAudio
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-24160: Threat Analysis Group di Google
CVE-2025-24161: Threat Analysis Group di Google
CVE-2025-24163: Threat Analysis Group di Google
CoreMedia
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2025-24123: Desmond in collaborazione con Zero Day Initiative di Trend Micro
CVE-2025-24124: Pwn2car e Rotiple (HyeongSeok Jang) in collaborazione con Zero Day Initiative di Trend Micro
CoreMedia
Disponibile per: Apple Vision Pro
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 17.2.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2025-24085
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2025-24086: DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n
Kernel
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Safari
Disponibile per: Apple Vision Pro
Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore interfaccia utente.
CVE-2025-24113: @RenwaX23
SceneKit
Disponibile per: Apple Vision Pro
Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2025-24149: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
WebContentFilter
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2025-24154: un ricercatore anonimo
WebKit
Disponibile per: Apple Vision Pro
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: il problema è stato risolto con migliori restrizioni di accesso al file system.
WebKit Bugzilla: 283117
CVE-2025-24143: un ricercatore anonimo
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) di NUS CuriOSity e P1umer (@p1umer) di Imperial Global Singapore
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy di HKUS3Lab e chluo di WHUSecLab
Altri riconoscimenti
Audio
Ringraziamo Threat Analysis Group di Google per l'assistenza.
CoreAudio
Ringraziamo Threat Analysis Group di Google per l'assistenza.
CoreMedia Playback
Ringraziamo Song Hyun Bae (@bshyuunn) e Lee Dong Ha (Who4mI) per l'assistenza.
File
Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.
Guest User
Ringraziamo Jake Derouin per l'assistenza.
Passwords
Ringraziamo Talal Haj Bakry e Tommy Mysk di Mysk Inc. @mysk_co per l'assistenza.
Static Linker
Ringraziamo Holger Fuhrmannek per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.