A visionOS 2.1

Ez a dokumentum a visionOS 2.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

A visionOS 2.1 biztonsági változásjegyzéke

App Support

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások a felhasználó engedélye nélkül futtathattak tetszőleges billentyűparancsokat

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44255: anonim kutató

AppleAVD

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44240: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

Foundation

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-44282: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

ImageIO

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44297: Jex Amro

IOSurface

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-44285: anonim kutató

Kernel

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44262: Justin Saboo

Managed Configuration

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44277: egy anonim kutató és Yinyi Wu(@_3ndy1) (Dawn Security Lab of JD.com, Inc.)

Safari Downloads

A következőhöz érhető el: Apple Vision Pro

Érintett terület: A támadók vissza tudtak élni a bizalmi kapcsolatokkal, és ezáltal le tudtak tölteni rosszindulatú tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44259: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Safari Private Browsing

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Privát böngészés esetén néhány böngészési előzmény kiszivároghatott.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy rosszindulatú alkalmazások billentyűparancsok használatával korlátozott hozzáférésű fájlokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44269: anonim kutató

Siri

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az elkülönített alkalmazások képesek lehetnek bizalmas felhasználói adatokhoz hozzáférni a rendszernaplókban

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-44244: egy anonim kutató, Q1IQ (@q1iqF) és P1umer (@p1umer)

WebKit

A következőhöz érhető el: Apple Vision Pro

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44296: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

További köszönetnyilvánítás

Calendar

Köszönjük K宝(@Pwnrin) segítségét.

ImageIO

Köszönjük Amir Bazine, Karsten König (CrowdStrike Counter Adversary Operations) és egy anonim kutató segítségét.

Messages

Köszönjük Collin Potter és egy anonim kutató segítségét.

NetworkExtension

Köszönjük Patrick Wardle (DoubleYou & the Objective-See Foundation) segítségét.

Photos

Köszönjük James Robertson segítségét.

Safari Private Browsing

Köszönjük az anonim kutató r00tdaddy segítségét.

Safari Tabs

Köszönjük Jaydev Ahire segítségét.

Security

Köszönjük Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group) segítségét.