Despre conținutul de securitate din visionOS 2

Acest document descrie conținutul de securitate din visionOS 2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina , Securitatea produselor Apple.

visionOS 2

APFS

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Disponibilitate pentru: Apple Vision Pro

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Disponibilitate pentru: Apple Vision Pro

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișier a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r sau ZeroPointer Lab, lucrând în colaborare cu Trend Micro Zero Day Initiative și un cercetător anonim

IOSurfaceAccelerator

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Disponibilitate pentru: Apple Vision Pro

Impact: traficul de rețea poate să scape în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

libxml2

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

mDNSResponder

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o eroare de logică prin îmbunătățirea gestionării fișierelor.

CVE-2024-44183: Olivier Levon

Model I/O

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-5841

Notițe

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

Presence

Disponibilitate pentru: Apple Vision Pro

Impact: O aplicație ar putea fi capabilă să citească date sensibile din memoria GPU

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2024-40790: Max Thomas

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40857: Ron Masas

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

CVE-2024-44187: Narendra Bhati, Manager la Cyber Security al Suma Soft Pvt. Ltd, Pune (India)

Alte mențiuni

Kernel

Dorim să îi mulțumim lui Braxton Anderson pentru asistență.

Hărți

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Parole

Dorim să-i mulțumim lui Richard Hyunho Im (@r1cheeta) pentru asistență.

TCC

Dorim să-i mulțumim lui Vaibhav Prajapati pentru asistență.

WebKit

Dorim să îi mulțumim lui Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) pentru asistență.