Informacije o sigurnosnom sadržaju sustava visionOS 1.1.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 1.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 1.1

Accessibility

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-23258: Zhenjiang Zhao (pangu team), Qianxin i Amir Bazine te Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

Kernel

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

Metal

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

Persona

Dostupno za: Apple Vision Pro

Učinak: neautorizirani korisnik može koristiti nezaštićenu personu

Opis: riješen je problem s dozvolama kako bi se osiguralo da su persone uvijek zaštićene

CVE-2024-23295: Patrick Reardon

RTKit

Dostupno za: Apple Vision Pro

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Safari

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2024-23220

UIKit

Dostupno za: Apple Vision Pro

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23226: Pwn2car

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23284: Georg Felber i Marco Squarcina

Dodatna zahvala

Kernel

Na pomoći zahvaljujemoTareku Joumaau (@tjkr0wn) i korisniku 이준성(Junsung Lee).

Model I/O

Na pomoći zahvaljujemo Junsungu Leeju.

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.

Safari

Na pomoći zahvaljujemo Abhinavu Saraswatu, Matthewu C i korisniku 이동하 (Lee Dong Ha of ZeroPointer Lab ).

WebKit

Na pomoći zahvaljujemo Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).