Tietoja visionOS 2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

visionOS 2

ARKit

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44126: Holger Fuhrmannek

APFS

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Saatavuus: Apple Vision Pro

Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r (ZeroPointer Lab) yhteistyössä Trend Micro Zero Day Initiativen kanssa sekä nimetön tutkija

IOSurfaceAccelerator

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: verkkoliikenne saattoi vuotaa VPN-tunnelin ulkopuolelle.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44165: Andrew Lytvynov

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

libxml2

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

mDNSResponder

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Model I/O

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-5841

Notes

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44167: ajajfxhj

Presence

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä lukemaan arkaluonteisia tietoja näytönohjaimen muistista.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2024-40790: Max Thomas

SceneKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40857: Ron Masas

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Kiitokset

Kernel

Haluamme kiittää Braxton Andersonia hänen antamastaan avusta.

Maps

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Passwords

Haluamme kiittää Richard Hyunho Imiä (@r1cheeta) hänen antamastaan avusta.

TCC

Haluamme kiittää Vaibhav Prajapatia hänen antamastaan avusta.

WebKit

Haluamme kiittää avusta Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Eli Greyta (eligrey.com) ja Johan Carlssonia (joaxcar).