Om sikkerhedsindholdet i visionOS 1.3

I dette dokument beskrives sikkerhedsindholdet i visionOS 1.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 1.3

Apple Neural Engine

Fås til: Apple Vision Pro

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-27826: Ye Zhang (@VAR10CK) fra Baidu Security og Minghao Lin

AppleAVD

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

CoreGraphics

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40777: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a

Kernel

Fås til: Apple Vision Pro

Effekt: En lokal hacker kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Fås til: Apple Vision Pro

Effekt: En hacker i en privilegeret netværksposition kan muligvis efterligne netværkspakker

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, prof. Amit Klein fra Hebrew University og EP

Kernel

Fås til: Apple Vision Pro

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

Presence

Fås til: Apple Vision Pro

Effekt: Indtastninger på det virtuelle tastatur udledes muligvis fra Persona

Beskrivelse: Problemet er løst ved midlertidigt at afbryde Persona, når det virtuelle tastatur er aktivt.

CVE-2024-40865: Hanqiu Wang fra University of Florida, Zihao Zhan fra Texas Tech University, Haoqi Shan fra Certik, Siqi Dai fra University of Florida, Max Panoff fra University of Florida og Shuo Wang fra University of Florida

Shortcuts

Fås til: Apple Vision Pro

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40809: en anonym programmør

CVE-2024-40812: en anonym programmør

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Fås til: Apple Vision Pro

Effekt: En bruger kan muligvis omgå visse webindholdsbegrænsninger

Beskrivelse: Et problem i forbindelse med behandlingen af URL-protokoller er løst via forbedret logik.

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg

Yderligere anerkendelser

AirDrop

Vi vil gerne takke Linwz of DEVCORE for hjælpen.

Shortcuts

Vi vil gerne takke en anonym programmør for hjælpen.