Informazioni sui contenuti di sicurezza di visionOS 1.2

In questo articolo vengono descritti i contenuti di sicurezza di visionOS 1.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

visionOS 1.2

AVEVideoEncoder

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-40771: un ricercatore anonimo

CoreMedia

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

CoreMedia

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations

Disk Images

Disponibile per: Apple Vision Pro

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27832: un ricercatore anonimo

Foundation

Disponibile per: Apple Vision Pro

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27801: CertiK SkyFall Team

ImageIO

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27836: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

IOSurface

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Kernel

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27815: un ricercatore anonimo e Joseph Ravichandran (@0xjprx) di MIT CSAIL

libiconv

Disponibile per: Apple Vision Pro

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27811: Nick Wellnhofer

Messages

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Metal

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro

Metal

Disponibile per: Apple Vision Pro

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-27857: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Safari

Disponibile per: Apple Vision Pro

Impatto: una finestra di dialogo di autorizzazione di un sito web potrebbe rimanere visualizzata dopo l'uscita dal sito.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27844: Narendra Bhati di Suma Soft Pvt. Ltd di Pune (India), Shaheen Fazim

Transparency

Disponibile per: Apple Vision Pro

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: questo problema è stato risolto con una nuova autorizzazione.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27856: Maksymilian Motyl di Immunity Systems, Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e ajajfxhj

WebKit

Disponibile per: Apple Vision Pro

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2024-27838: Emilio Cobos di Mozilla

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27808: Lukas Bernhard di CISPA Helmholtz Center for Information Security

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-27812: Ryan Pickren (ryanpickren.com)

WebKit

Disponibile per: Apple Vision Pro

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante miglioramenti all'algoritmo di iniezione di rumore.

CVE-2024-27850: un ricercatore anonimo

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27833: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-27851: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute

WebKit Canvas

Disponibile per: Apple Vision Pro

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27830: Joe Rutkowski (@Joe12387) di Crawless e @abrahamjuliot

WebKit Web Inspector

Disponibile per: Apple Vision Pro

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27820: Jeff Johnson di underpassapp.com

Altri riconoscimenti

ImageIO

Ringraziamo un ricercatore anonimo per l'assistenza.