Om sikkerhedsindholdet i visionOS 2.2

I dette dokument beskrives sikkerhedsindholdet i visionOS 2.2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 2.2

APFS

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym programmør

Crash Reporter

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-54513: en anonym programmør

FontParser

Fås til: Apple Vision Pro

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ICU

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-54478: Gary Kwong

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-54499: anonym, som arbejder med Trend Micros Zero Day Initiative

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54500: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

Kernel

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44245: en anonym programmør

Kernel

Fås til: Apple Vision Pro

Effekt: En hacker kan muligvis oprette en skrivebeskyttet hukommelsestilknytning, der kan skrives til

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-54494: sohybbyk

libexpat

Fås til: Apple Vision Pro

Effekt: En ekstern hacker kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-45490

Passkeys

Fås til: Apple Vision Pro

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Passwords

Fås til: Apple Vision Pro

Effekt: En hacker i en privilegeret netværksposition kan ændre netværkstrafik

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

QuartzCore

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54497: anonym, som arbejder med Trend Micros Zero Day Initiative

SceneKit

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

Vim

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-45306

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-54505: Gary Kwong

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym programmør

Yderligere anerkendelser

FaceTime Foundation

Vi vil gerne takke Joshua Pellecchia for hjælpen.

Photos

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

Proximity

Vi vil gerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjælpen.

Safari Private Browsing

Vi vil gerne takke Richard Hyunho Im (@richeeta), der arbejder med Route Zero Security, for hjælpen.

Swift

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

WebKit

Vi vil gerne takke Hafiizh for hjælpen.