Tietoja visionOS 1.3:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan visionOS 1.3:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
visionOS 1.3
Julkaistu 29.7.2024
Apple Neural Engine
Saatavuus: Apple Vision Pro
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27826: Ye Zhang (@VAR10CK, Baidu Security) ja Minghao Li
AppleAVD
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40799: D4m0n
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40806: Yisumi
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-40777: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen sekä Amir Bazinen ja Karsten Königin (CrowdStrike Counter Adversary Operations) kanssa
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4a:n kanssa
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: paikallinen hyökkääjä voi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä jäljittelemään verkkopaketteja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-27823: professori Benny Pinkas (Bar-Ilan University), professori Amit Klein (Hebrew University) ja EP
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)
Presence
Saatavuus: Apple Vision Pro
Vaikutus: virtuaalisen näppäimistön syötteet saatettiin pystyä päättelemään Personasta.
Kuvaus: ongelma on ratkaistu estämällä Personan käyttö, kun virtuaalinen näppäimistö on käytössä.
CVE-2024-40865: Hanqiu Wang (University of Florida), Zihao Zhan (Texas Tech University), Haoqi Shan (Certik), Siqi Dai (University of Florida), Max Panoff (University of Florida) ja Shuo Wang (University of Florida)
Kohta lisätty 5.9.2024
Shortcuts
Saatavuus: Apple Vision Pro
Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-40809: nimetön tutkija
CVE-2024-40812: nimetön tutkija
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Kohta lisätty 15.10.2024
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: käyttäjä saattoi pystyä ohittamaan joitakin verkkosisällön rajoituksia.
Kuvaus: URL-protokollien käsittelyyn liittyvä ongelma on ratkaistu parantamalla logiikkaa.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger ja Ro Achterberg
Kohta lisätty 15.10.2024
Kiitokset
AirDrop
Haluamme kiittää Linwziä (DEVCORE) hänen avustaan.
Shortcuts
Haluamme kiittää avusta nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.