Informazioni sui contenuti di sicurezza di visionOS 1.1
In questo articolo vengono descritti i contenuti di sicurezza di visionOS 1.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
visionOS 1.1
Rilasciato il 7 marzo 2024
Accessibility
Disponibile per: Apple Vision Pro
Impatto: un'app può essere in grado di eseguire lo spoofing dell'interfaccia utente e le notifiche di sistema.
Descrizione: il problema è stato risolto attraverso ulteriori controlli.
CVE-2024-23262: Guilherme Rambo di Best Buddy Apps (rambo.codes)
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-23257: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-23258: Zhenjiang Zhao di pangu team, Qianxin, nonché Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
Voce aggiornata il 31 maggio 2024
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-23286: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro, Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), nonché Lyutoon e Mr.R
Voce aggiornata il 31 maggio 2024
Kernel
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-23235
Kernel
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
CVE-2024-23265: Xinru Chi di Pangu Lab
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23225
Metal
Disponibile per: Apple Vision Pro
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro
Persona
Disponibile per: Apple Vision Pro
Impatto: un utente non autenticato può essere in grado di utilizzare una Persona non protetta.
Descrizione: è stato risolto un problema relativo alle autorizzazioni per garantire che le Persone siano sempre protette.
CVE-2024-23295: Patrick Reardon
RTKit
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23296
Safari
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2024-23220
UIKit
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsorizzato da Bundesamt für Sicherheit in der Informationstechnik
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263758
CVE-2024-54658: anbu1024 di SecANT
Voce aggiunta il 5 febbraio 2025
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit Bugzilla: 263001
CVE-2024-27859: Pwn2car
Voce aggiunta il 7 marzo 2024 e aggiornata il 5 febbraio 2025
WebKit
Disponibile per: Apple Vision Pro
Impatto: un sito web dannoso può causare l'esfiltrazione dei dati audio multiorigine.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber e Marco Squarcina
Altri riconoscimenti
Kernel
Ringraziamo Tarek Joumaa (@tjkr0wn) e 이준성(Junsung Lee) per l'assistenza.
Messages
Ringraziamo Petar Mataić per l'assistenza.
Voce aggiunta il 5 febbraio 2025
Model I/O
Ringraziamo Junsung Lee per l'assistenza.
Power Management
Ringraziamo Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. per l'assistenza.
Safari
Ringraziamo Abhinav Saraswat, Matthew C e Lee Dong Ha (이동하) di ZeroPointer Lab per l'assistenza.
WebKit
Ringraziamo Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese di TU Wien per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.