Informacije o sigurnosnom sadržaju sustava visionOS 2.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 2.2

APFS

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimni istraživač

Crash Reporter

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-54513: anonimni istraživač

FontParser

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ICU

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-54478: Gary Kwong

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54499: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54500: Junsung Lee i inicijativa Zero Day (Trend Micro)

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44245: anonimni istraživač

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadači su mogli stvoriti mapiranje memorije samo za čitanje u koju se moglo zapisivati

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-54494: sohybbyk

libexpat

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45490

Povezni ključevi

Dostupno za: Apple Vision Pro

Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram India), Rakeshkumar Talaviya

Passwords

Dostupno za: Apple Vision Pro

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) (@mysk_co)

QuartzCore

Dostupno za: Apple Vision Pro

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54497: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)

SceneKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54501: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

Vim

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45306

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-54508: linjy (HKUS3Lab) i chluo (WHUSecLab), Xiangwei Zhang (YUNDING LAB, Tencent Security)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54505: Gary Kwong

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong i anonimni istraživač

Dodatna zahvala

FaceTime Foundation

Na pomoći zahvaljujemo Joshui Pellecchiji.

Foto

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Proximity

Na pomoći zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (George Mason University).

Safari Private Browsing

Na pomoći zahvaljujemo Richardu Hyunhou Imu (@richeeta) i Route Zero Security.

Swift

Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.

WebKit

Na pomoći zahvaljujemo korisniku Hafiizhu.