Informacije o sigurnosnom sadržaju sustava visionOS 2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 2
Objavljeno 16. rujna 2024.
ARKit
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-44126: Holger Fuhrmannek
Unos je dodan 28. listopada 2024.
APFS
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna aplikacija s korijenskim privilegijama možda bi mogla izmjenjivati sadržaj sistemskih datoteka
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
Compression
Dostupno za: Apple Vision Pro
Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Game Center
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27880: Junsung Lee
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-44176: dw0r (ZeroPointer Lab) u suradnji s projektom Zero Day Initiative (Trend Micro) i anonimni istraživač
IOSurfaceAccelerator
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44169: Antonio Zekić
Kernel
Dostupno za: Apple Vision Pro
Učinak: mrežni promet mogao je procuriti izvan VPN tunela
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-44165: Andrew Lytvynov
Kernel
Dostupno za: Apple Vision Pro
Učinak: aplikacija može steći neovlašten pristup Bluetoothu
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef
libxml2
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.
CVE-2024-44183: Olivier Levon
Model I/O
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2023-5841
Notes
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-44167: ajajfxhj
Presence
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla čitati osjetljive podatke iz GPU memorije
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2024-40790: Max Thomas
SceneKit
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2024-44144: 냥냥
Unos je dodan 28. listopada 2024.
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Dostupno za: Apple Vision Pro
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Dodatna zahvala
Kernel
Zahvaljujemo se na pomoći Braxtonu Andersonu.
Maps
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Passwords
Zahvaljujemo se na pomoći Richardu Hyunho Imu (@r1cheeta).
TCC
Na pomoći se zahvaljujemo Vaibhavu Prajapatiju.
WebKit
Na pomoći zahvaljujemo Aviju Lumelskyju (Oligo Security), Uriju Katzu (Oligo Security), Eliju Greyu (eligrey.com), Johanu Carlssonu (joaxcar).
Unos je ažuriran 28. listopada 2024.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.