Tietoja visionOS 2.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan visionOS 2.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
visionOS 2.2
Julkaistu 11.12.2024
Crash Reporter
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-54513: nimetön tutkija
FontParser
Saatavuus: Apple Vision Pro
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54500: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44245: nimetön tutkija
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voi kirjoittaa.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-54494: sohybbyk
libexpat
Saatavuus: Apple Vision Pro
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-45490
Passwords
Saatavuus: Apple Vision Pro
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.
Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.
CVE-2024-54492: Talal Haj Bakry ja Tommy Mysk (Mysk Inc., @mysk_co)
SceneKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka (Google Project Zero)
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
Kiitokset
FaceTime Foundation
Haluamme kiittää avusta Joshua Pellecchiaa.
Photos
Haluamme kiittää Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup heidän antamastaan avusta.
Proximity
Haluamme kiittää avusta Junming C:tä (@Chapoly1305) ja Prof. Qiang Zengiä (George Mason University).
Safari Private Browsing
Haluamme kiittää avusta Richard Hyunho Imia (@richeeta, Route Zero Security).
Swift
Haluamme kiittää avusta Marc Schoenefeldiä, Dr. rer. nat. Marc Schoenefeldia heidän avustaan.
WebKit
Haluamme kiittää avusta Hafiizhia.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.