Tietoja visionOS 2.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan visionOS 2.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

visionOS 2.2

APFS

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) ja nimetön tutkija

Crash Reporter

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-54513: nimetön tutkija

FontParser

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ICU

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-54478: Gary Kwong

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-54499: nimetön henkilö yhteistyössä Trend Micron Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54500: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44245: nimetön tutkija

Kernel

Saatavuus: Apple Vision Pro

Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voitiin kirjoittaa.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-54494: sohybbyk

libexpat

Saatavuus: Apple Vision Pro

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-45490

Passkeys

Saatavuus: Apple Vision Pro

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Rakeshkumar Talaviya

Passwords

Saatavuus: Apple Vision Pro

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.

Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.

CVE-2024-54492: Talal Haj Bakry ja Tommy Mysk (Mysk Inc., @mysk_co)

QuartzCore

Saatavuus: Apple Vision Pro

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54497: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

SceneKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)

Vim

Saatavuus: Apple Vision Pro

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-45306

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54505: Gary Kwong

WebKit

Saatavuus: Apple Vision Pro

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong ja nimetön tutkija

Kiitokset

FaceTime Foundation

Haluamme kiittää avusta Joshua Pellecchiaa.

Photos

Haluamme kiittää avusta Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup.

Proximity

Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).

Safari Private Browsing

Haluamme kiittää avusta Richard Hyunho Imiä (@richeeta) yhteistyössä Route Zero Securityn kanssa.

Swift

Haluamme kiittää nat. Marc Schoenefeldia heidän avustaan.

WebKit

Haluamme kiittää avusta Hafiizhia.