A visionOS 2.2 biztonsági változásjegyzéke
Ez a dokumentum a visionOS 2.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
visionOS 2.2
Kiadás dátuma: 2024. december 11.
Crash Reporter
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-54513: anonim kutató
FontParser
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54486: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44245: anonim kutató
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54494: sohybbyk
libexpat
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-45490
Passwords
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat.
Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.
CVE-2024-54492: Talal Haj Bakry és Tommy Mysk (Mysk Inc. @mysk_co)
SceneKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka (Google Project Zero)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy (HKUS3Lab) és chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor memóriasérülést okozhatott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor memóriasérülést okozhatott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
További köszönetnyilvánítás
FaceTime Foundation
Köszönjük Joshua Pellecchia segítségét.
Photos
Szeretnénk megköszönni Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.
Proximity
Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.
Safari Private Browsing
Köszönjük Richard Hyunho Im (@richeeta, Route Zero Security) segítségét.
Swift
Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét. segítségét.
WebKit
Köszönjük Hafiizh segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.