Mengenai konten keamanan visionOS 1.3

Dokumen ini menjelaskan konten keamanan visionOS 1.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 1.3

Dirilis pada 29 Juli 2024

Apple Neural Engine

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang lokal mungkin dapat mengakibatkan sistem mati secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27826: Ye Zhang (@VAR10CK) dari Baidu Security dan Minghao Lin

AppleAVD

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

CoreGraphics

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-40799: D4m0n

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar mungkin mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-40806: Yisumi

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-40777: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro, serta Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-40784: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro dan Gandalf4a

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang lokal mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-27863: Tim CertiK SkyFall

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat memalsukan paket jaringan

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2024-27823: Prof. Benny Pinkas dari Bar-Ilan University, Prof. Amit Klein dari Hebrew University, dan EP

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang lokal mungkin dapat mengakibatkan sistem mati secara tiba-tiba

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-40788: Minghao Lin dan Jiaxun Zhu dari Zhejiang University

Presence

Tersedia untuk: Apple Vision Pro

Dampak: Input ke papan ketik virtual mungkin dianggap berasal dari Persona

Deskripsi: Masalah ini telah diatasi dengan menangguhkan Persona saat papan ketik virtual aktif.

CVE-2024-40865: Hanqiu Wang dari University of Florida, Zihao Zhan dari Texas Tech University, Haoqi Shan dari Certik, Siqi Dai dari University of Florida, Max Panoff dari University of Florida, dan Shuo Wang dari University of Florida

Entri ditambahkan pada 5 September 2024

Shortcuts

Tersedia untuk: Apple Vision Pro

Dampak: Pintasan mungkin dapat melewati persyaratan izin Internet

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-40809: peneliti anonim

CVE-2024-40812: peneliti anonim

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin dari Ant Group Light-Year Security Lab

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin dari Ant Group Light-Year Security Lab

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin dari Ant Group Light-Year Security Lab

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-40789: Seunghyun Lee (@0x10n) dari KAIST Hacking Lab yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

Entri ditambahkan pada 15 Oktober 2024

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Pengguna mungkin dapat menembus beberapa pembatasan konten web

Deskripsi: Masalah penanganan protokol URL telah diatasi dengan logika ditingkatkan.

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger dan Ro Achterberg

Entri ditambahkan pada 15 Oktober 2024

Ucapan terima kasih tambahan

AirDrop

Kami ingin mengucapkan terima kasih kepada Linwz dari DEVCORE atas bantuannya.

Shortcuts

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: