Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του visionOS 2.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του visionOS 2.1

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες κυκλοφορίες παρατίθενται στη σελίδα κυκλοφοριών ασφάλειας της Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του visionOS 2.1

App Support

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετες συντομεύσεις χωρίς τη συγκατάθεση του χρήστη

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2024-44255: ένας ανώνυμος ερευνητής

AppleAVD

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απροσδόκητο τερματισμό συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2024-44232: Ivan Fratric του Google Project Zero

CVE-2024-44233: Ivan Fratric του Google Project Zero

CVE-2024-44234: Ivan Fratric του Google Project Zero

CoreMedia Playback

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell του Loadshine Lab

CoreText

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44240: Hossein Lotfi (@hosselot) της Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) της Trend Micro Zero Day Initiative

Foundation

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η ανάλυση ενός αρχείου μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-44282: Hossein Lotfi (@hosselot) της Trend Micro Zero Day Initiative

ImageIO

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44215: Junsung Lee σε συνεργασία με την Trend Micro Zero Day Initiative

ImageIO

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να οδηγήσει σε άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2024-44297: Jex Amro

IOSurface

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2024-44285: ένας ανώνυμος ερευνητής

Kernel

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητη κατάσταση πυρήνα

Περιγραφή: Ένα ζήτημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2024-44262: Justin Saboo

Managed Configuration

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επαναφορά ενός κακόβουλα δημιουργημένου αρχείου αντιγράφου ασφαλείας μπορεί να οδηγήσει σε τροποποίηση των προστατευμένων αρχείων συστήματος

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επαναφορά ενός κακόβουλα δημιουργημένου αρχείου αντιγράφου ασφαλείας μπορεί να οδηγήσει σε τροποποίηση των προστατευμένων αρχείων συστήματος

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού αρχείων.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-44277: ένας ανώνυμος ερευνητής και η Yinyi Wu (@_3ndy1) του Dawn Security Lab του JD.com, Inc.

Safari Downloads

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να καταχραστεί μια αξιόπιστη σχέση για τη λήψη κακόβουλου περιεχομένου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security της Suma Soft Pvt. Ltd, Πούνε (Ινδία)

Safari Private Browsing

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η ιδιωτική περιήγηση μπορεί να διαρρέει κάποιο ιστορικό περιήγησης

Περιγραφή: Μια διαρροή πληροφοριών αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να χρησιμοποιεί συντομεύσεις για πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44269: ένας ανώνυμος ερευνητής

Siri

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αποκάλυψη ευαίσθητων πληροφοριών.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Μια εφαρμογή sandbox ενδέχεται να έχει τη δυνατότητα να έχει πρόσβαση σε ευαίσθητα δεδομένα χρήστη στα αρχεία καταγραφής συστήματος

Περιγραφή: Ένα ζήτημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-44244: ένας ανώνυμος ερευνητής, Q1IQ (@q1iqF) και P1umer (@p1umer)

WebKit

Διατίθεται για: Apple Vision Pro

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security της Suma Soft Pvt. Ltd, Πούνε (Ινδία)

Επιπλέον αναγνώριση

Calendar

Θα θέλαμε να ευχαριστήσουμε τον χρήστη K宝 (@Pwnrin) για τη βοήθειά του.

ImageIO

Θα θέλαμε να ευχαριστήσουμε τους Amir Bazine και Karsten König του CrowdStrike Counter Adversary Operations και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Messages

Θα θέλαμε να ευχαριστήσουμε τον Collin Potter και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

NetworkExtension

Θα θέλαμε να ευχαριστήσουμε τον Patrick Wardle της DoubleYou και το Objective-See Foundation για τη βοήθειά τους.

Photos

Θα θέλαμε να ευχαριστήσουμε τον James Robertson για τη βοήθειά του.

Safari Private Browsing

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή, r00tdaddy για τη βοήθειά του.

Safari Tabs

Θα θέλαμε να ευχαριστήσουμε τον Jaydev Ahire για τη βοήθειά του.

Security

Θα θέλαμε να ευχαριστήσουμε τους Bing Shi, Wenchao Li και Xiaolong Bai του Ομίλου Alibaba για τη βοήθειά τους.