Om sikkerhedsindholdet i visionOS 2.1

I dette dokument beskrives sikkerhedsindholdet i visionOS 2.1.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Om sikkerhedsindholdet i visionOS 2.1

App Support

Fås til: Apple Vision Pro

Effekt: En skadelig app kan muligvis køre vilkårlige genveje uden brugerens samtykke

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2024-44255: en anonym programmør

AppleAVD

Fås til: Apple Vision Pro

Effekt: Parsing af et skadeligt videoarkiv kan føre til pludselig systemlukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

CoreMedia Playback

Fås til: Apple Vision Pro

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Fås til: Apple Vision Pro

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Fås til: Apple Vision Pro

Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2024-44215: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44297: Jex Amro

IOSurface

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-44285: en anonym programmør

Kernel

Fås til: Apple Vision Pro

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Fås til: Apple Vision Pro

Effekt: En bruger kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-44262: Justin Saboo

Managed Configuration

Fås til: Apple Vision Pro

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Fås til: Apple Vision Pro

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Et logikproblem er løst ved forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44277: en anonym programmør og Yinyi Wu(@_3ndy1) fra Dawn Security Lab of JD.com, Inc.

Safari Downloads

Fås til: Apple Vision Pro

Effekt: En hacker kan muligvis misbruge et tillidsforhold til at downloade skadeligt indhold

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Safari Private Browsing

Fås til: Apple Vision Pro

Effekt: Privat browser kan lække privat browserhistorik

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Fås til: Apple Vision Pro

Effekt: En skadelig app kan muligvis bruge genveje til at få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44269: en anonym programmør

Siri

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Fås til: Apple Vision Pro

Effekt: En sandbox-app kan muligvis tilgå følsomme brugerdata i systemlogarkiver

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.

CVE-2024-44244: en anonym programmør, Q1IQ (@q1iqF) og P1umer (@p1umer)

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Yderligere anerkendelser

Calendar

Vi vil gerne takke K宝(@Pwnrin) for hjælpen.

ImageIO

Vi vil gerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym programmør for hjælpen.

Messages

Vi vil gerne takke Collin Potter, en anonym programmør for hjælpen.

NetworkExtension

Vi vil gerne takke Patrick Wardle fra DoubleYou & the Objective-See Foundation for hjælpen.

Fotos

Vi vil gerne takke James Robertson for hjælpen.

Safari Private Browsing

Vi vil gerne takke en anonym programmør og r00tdaddy for hjælpen.

Safari Tabs

Vi vil gerne takke Jaydev Ahire for hjælpen.

Security

Vi vil gerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjælpen.