Despre conținutul de securitate din visionOS 2.3
Acest document descrie conținutul de securitate din visionOS 2.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
visionOS 2.3
Lansare: 27 ianuarie 2025
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator din rețeaua locală poate fi capabil să provoace închiderea neașteptată a sistemului sau să altereze memoria procesului
Descriere: a fost remediată o problemă legată de validarea intrărilor.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator aflat într-o poziție privilegiată poate fi capabil să efectueze o refuzare a serviciului (DoS)
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu și Xingwei Lin din cadrul Universității Zhejiang
CoreAudio
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24123: Desmond în colaborare cu Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) în colaborare cu Trend Micro Zero Day Initiative
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație rău intenționată poate să acorde privilegii superioare. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 17.2.
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2025-24085
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-24086: DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) din cadrul Enki WhiteHat, D4m0n
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2025-24159: pattern-f (@pattern_F_)
LaunchServices
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)
Safari
Disponibilitate pentru: Apple Vision Pro
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: problema a fost remediată prin îmbunătățirea interfeței cu utilizatorul.
CVE-2025-24113: @RenwaX23
SceneKit
Disponibilitate pentru: Apple Vision Pro
Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2025-24149: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative
WebContentFilter
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2025-24154: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: problema a fost remediată prin îmbunătățirea restricțiilor de acces la sistemul de fișiere.
WebKit Bugzilla: 283117
CVE-2025-24143: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) de la NUS CuriOSity și P1umer (@p1umer) de la Imperial Global Singapore
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy (HKUS3Lab) și chluo (WHUSecLab)
Alte mențiuni
Audio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
CoreAudio
Dorim să mulțumim Google Threat Analysis Group pentru asistență.
CoreMedia Playback
Dorim să-i mulțumim lui Song Hyun Bae (@bshyuunn) și lui Lee Dong Ha (Who4mI) pentru asistență.
Fișiere
Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și taikosoup pentru asistență.
Guest User
Dorim să-i mulțumim lui Jake Derouin pentru asistență.
Passwords
Dorim să-i mulțumim lui Talal Haj Bakry și lui Tommy Mysk (Mysk Inc. @mysk_co) pentru asistență.
Static Linker
Dorim să îi mulțumim lui Holger Fuhrmannek pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.