Mengenai konten keamanan visionOS 2.1

Dokumen ini menjelaskan konten keamanan visionOS 2.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Mengenai konten keamanan visionOS 2.1

App Support

Tersedia untuk: Apple Vision Pro

Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2024-44255: peneliti anonim

AppleAVD

Tersedia untuk: Apple Vision Pro

Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44232: Ivan Fratric dari Google Project Zero

CVE-2024-44233: Ivan Fratric dari Google Project Zero

CVE-2024-44234: Ivan Fratric dari Google Project Zero

CoreMedia Playback

Tersedia untuk: Apple Vision Pro

Dampak: App yang berbahaya mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell dari Loadshine Lab

CoreText

Tersedia untuk: Apple Vision Pro

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

Foundation

Tersedia untuk: Apple Vision Pro

Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44297: Jex Amro

IOSurface

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2024-44285: peneliti anonim

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Tersedia untuk: Apple Vision Pro

Dampak: Pengguna dapat melihat informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2024-44262: Justin Saboo

Managed Configuration

Tersedia untuk: Apple Vision Pro

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Tersedia untuk: Apple Vision Pro

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan penanganan file yang lebih baik.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44277: peneliti anonim dan Yinyi Wu (@_3ndy1) dari Dawn Security Lab milik JD.com, Inc.

Safari Downloads

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang mungkin dapat menyalahgunakan hubungan kepercayaan untuk mengunduh konten berbahaya

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44259: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Tersedia untuk: Apple Vision Pro

Dampak: Penelusuran pribadi dapat membocorkan sebagian riwayat penelusuran

Deskripsi: Kebocoran informasi telah diatasi dengan validasi tambahan.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Tersedia untuk: Apple Vision Pro

Dampak: App yang berbahaya dapat menggunakan pintasan untuk mengakses file yang dibatasi

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44269: peneliti anonim

Siri

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Tersedia untuk: Apple Vision Pro

Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna di log sistem

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-44244: peneliti anonim, Q1IQ (@q1iqF), dan P1umer (@p1umer)

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44296: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

Ucapan terima kasih tambahan

Calendar

Kami ingin mengucapkan terima kasih kepada K宝 (@Pwnrin) atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, peneliti anonim atas bantuannya.

Messages

Kami ingin mengucapkan terima kasih kepada Collin Potter, peneliti anonim atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.

Photos

Kami ingin mengucapkan terima kasih kepada James Robertson atas bantuannya.

Safari Private Browsing

Kami ingin mengucapkan terima kasih kepada peneliti anonim, r00tdaddy atas bantuannya.

Safari Tabs

Kami ingin mengucapkan terima kasih kepada Jaydev Ahire atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group atas bantuannya.