Informacije o sigurnosnom sadržaju sustava visionOS 1.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 1.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 1.3

Apple Neural Engine

Dostupno za: Apple Vision Pro

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27826: Ye Zhang (@VAR10CK) (Baidu Security) i Minghao Lin

AppleAVD

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

CoreGraphics

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40777: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnik Gandalf4a

Kernel

Dostupno za: Apple Vision Pro

Učinak: lokalni napadač mogao bi odrediti raspored elemenata kernelske memorije

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadač s mrežnim ovlastima mogao bi lažirati mrežne pakete

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-27823: prof. Benny Pinkas sa Sveučilišta Bar-Ilan, prof. Amit Klein s Hebrejskog sveučilišta i EP

Kernel

Dostupno za: Apple Vision Pro

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu sa Sveučilišta Zhejiang

Presence

Dostupno za: Apple Vision Pro

Učinak: zadani lik mogao bi zaključiti što se unosi putem virtualne tipkovnice

Opis: problem je riješen onemogućavanjem upotrebe zadanog lika do je uključena virtualna tipkovnica.

CVE-2024-40865: Hanqiu Wang sa Sveučilišta u Floridi, Zihao Zhan sa sveučilišta Texas Tech, Haoqi Shan (Certik), Siqi Dai sa Sveučilišta u Floridi, Max Panoff sa Sveučilišta u Floridi i Shuo Wang sa Sveučilišta u Floridi

Shortcuts

Dostupno za: Apple Vision Pro

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40809: anonimni istraživač

CVE-2024-40812: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40789: Seunghyun Lee (@0x10n) (KAIST Hacking Lab) u suradnji s projektom Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44185: Gary Kwong

WebKit

Dostupno za: Apple Vision Pro

Učinak: korisnik bi mogao zaobići neka ograničenja mrežnog sadržaja

Opis: problem s obradom URL protokola riješen je poboljšanom logikom.

CVE-2024-44206: Andreas Jaegersberger i Ro Achterberg

Dodatna zahvala

AirDrop

Na pomoći zahvaljujemo korisniku Linwz (DEVCORE).

Shortcuts

Na pomoći zahvaljujemo anonimnom istraživaču.