tietoja visionOS 2.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 2.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

Tietoja visionOS 2.1:n turvallisuussisällöstä

App Support

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisia oikoteitä ilman käyttäjän suostumusta.

Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.

CVE-2024-44255: nimetön tutkija

AppleAVD

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell (Loadshine Lab)

CoreText

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44240: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CVE-2024-44302: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Foundation

Saatavuus: Apple Vision Pro

Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44282: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-44215: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2024-44297: Jex Amro

IOSurface

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-44285: nimetön tutkija

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Saatavuus: Apple Vision Pro

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-44262: Justin Saboo

Managed Configuration

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.

Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44277: nimetön tutkija ja Yinyi Wu (@_3ndy1, Dawn Security Lab of JD.com, Inc.)

Safari Downloads

Saatavuus: Apple Vision Pro

Vaikutus: Hyökkääjä saattoi pystyä käyttämään väärin luottamussuhdetta haitallisen sisällön lataamista varten.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44259: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Safari Private Browsing

Saatavuus: Apple Vision Pro

Vaikutus: yksityinen selaus saattaa vuotaa jonkin verran selaushistoriaa.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Saatavuus: Apple Vision Pro

Vaikutus: haitallinen appi saattoi päästä rajoitettuihin tiedostoihin oikoteiden avulla.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44269: nimetön tutkija

Siri

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Saatavuus: Apple Vision Pro

Vaikutus: eristetty appi saattaa kyetä käyttämään arkaluontoisia käyttäjätietoja järjestelmälokeissa.

Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44244: nimetön tutkija, Q1IQ (@q1iqF) ja P1umer (@p1umer)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44296: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Kiitokset

Calendar

Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.

ImageIO

Haluamme kiittää Amir Bazinea ja Karsten Königiä (CrowdStrike Counter Adversary Operations) ja nimetöntä tutkijaa heidän antamastaan avusta.

Messages

Haluamme kiittää Collin Potteria ja nimetöntä tutkijaa heidän antamastaan avusta.

NetworkExtension

Haluamme kiittää Patrick Wardle (DoubleYou & the Objective-See Foundation) hänen antamastaan avusta.

Photos

Haluamme kiittää avusta James Robertsonia.

Safari Private Browsing

Haluamme kiittää avusta nimetöntä tutkijaa ja nimimerkkiä r00tdaddy.

Safari Tabs

Haluamme kiittää avusta Jaydev Ahirea.

Security

Haluamme kiittää Bing Shiä, Wenchao Liä ja Xiaolong Baita (Alibaba Group) heidän antamastaan avusta.