Informazioni sui contenuti di sicurezza di visionOS 2.2
In questo documento vengono descritti i contenuti di sicurezza di visionOS 2.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
visionOS 2.2
Data di rilascio: 11 dicembre 2024
APFS
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) e un ricercatore anonimo
Voce aggiunta il 27 gennaio 2025
Crash Reporter
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-54513: un ricercatore anonimo
FontParser
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-54486: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative
ICU
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-54478: Gary Kwong
Voce aggiunta il 27 gennaio 2025
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-54499: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 27 gennaio 2025
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-54500: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-44245: un ricercatore anonimo
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato può essere in grado di creare una mappatura di memoria di sola lettura che può essere scritta
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-54494: sohybbyk
libexpat
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-45490
Passkey
Disponibile per: Apple Vision Pro
Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya
Voce aggiunta il 27 gennaio 2025
Passwords
Disponibile per: Apple Vision Pro
Impatto: un malintenzionato in una posizione privilegiata sulla rete potrebbe modificare il traffico sulla rete.
Descrizione: questo problema è stato risolto utilizzando HTTPS durante l'invio di informazioni sulla rete.
CVE-2024-54492: Talal Haj Bakry e Tommy Mysk of Mysk Inc. (@mysk_co)
QuartzCore
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-54497: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 27 gennaio 2025
SceneKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-54501: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro
Vim
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-45306
Voce aggiunta il 27 gennaio 2025
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka di Google Project Zero
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy di HKUS3Lab e chluo di WHUSecLab, Xiangwei Zhang di Tencent Security YUNDING LAB
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong e un ricercatore anonimo
Voce aggiornata il 27 gennaio 2025
Altri riconoscimenti
FaceTime Foundation
Ringraziamo Joshua Pellecchia per l'assistenza.
Photos
Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.
Proximity
Ringraziamo Junming C. (@Chapoly1305) e il Prof. Qiang Zeng della George Mason University per l'assistenza.
Safari Private Browsing
Ringraziamo Richard Hyunho Im (@richeeta) con Route Zero Security per l'assistenza.
Swift
Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.
WebKit
Ringraziamo Hafiizh per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.