Om säkerhetsinnehållet i visionOS 2.3

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 2.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

visionOS 2.3

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: en angripare på det lokala nätverket kan orsaka oväntad systemavstängning eller korrumpera processminnet

Beskrivning: Ett problem med indatavalidering åtgärdades.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: en fjärrangripare kan orsaka ett oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En angripare i en privilegierad position kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Tillgängligt för: Apple Vision Pro

Effekt: En fjärrangripare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kan leda till oväntad appavslutning

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu och Xingwei Lin från Zhejiang University

CoreAudio

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kan leda till oväntad appavslutning

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kan leda till oväntad appavslutning

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2025-24123: Desmond i samarbete med Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car och Rotiple (HyeongSeok Jang) i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple Vision Pro

Effekt: Ett program med skadligt innehåll kan höja behörigheter. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 17.2.

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2025-24085

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24086: DongJun Kim (@smlijun) och JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2025-24159: pattern-f (@pattern_F_)

LaunchServices

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2025-24117: Michael (Biscuit) Thomas (@biscuit@social.lol)

Safari

Tillgängligt för: Apple Vision Pro

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrat användargränssnitt.

CVE-2025-24113: @RenwaX23

SceneKit

Tillgängligt för: Apple Vision Pro

Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2025-24149: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

WebContentFilter

Tillgängligt för: Apple Vision Pro

Effekt: En angripare kan orsaka oväntad systemavstängning eller korrumpera kernelminnet

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2025-24154: En anonym forskare

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättrade åtkomstbegränsningar för filsystemet.

CVE-2025-24143: en anonym forskare

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2025-24158: Q1IQ (@q1iqF) på NUS CuriOSity och P1umer (@p1umer) på Imperial Global Singapore

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2025-24162: linjy från HKUS3Lab och chluo från WHUSecLab

Ytterligare tack

Ljud

Vi vill tacka Google Threat Analysis Group för hjälpen.

CoreAudio

Vi vill tacka Google Threat Analysis Group för hjälpen.

CoreMedia Playback

Vi vill tacka Song Hyun Bae (@bshyuunn) och Lee Dong Ha (Who4mI) för hjälpen.

Filer

Vi vill tacka Chi Yuan Chang of ZUSO ART och taikosoup för hjälpen.

Guest User

Vi vill tacka Jake Derouin för hjälpen.

Passwords

Vi vill tacka Talal Haj Bakry och Tommy Mysk från Mysk Inc. @mysk_co för hjälpen.

Static Linker

Vi vill tacka Holger Fuhrmannek för hjälpen.