visionOS 1.2のセキュリティコンテンツについて

visionOS 1.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

visionOS 1.2

2024年6月10日リリース

AVEVideoEncoder

対象:Apple Vision Pro

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2024-40771:匿名の研究者

2025年1月15日に追加

CoreMedia

対象:Apple Vision Pro

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27817:Ant Security Light-Year Labのpattern-f氏(@pattern_F_)

CoreMedia

対象:Apple Vision Pro

影響:ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-27831:CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏

Disk Images

対象:Apple Vision Pro

影響:アプリが権限を昇格させることが可能な場合がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27832:匿名の研究者

Foundation

対象:Apple Vision Pro

影響:アプリが権限を昇格させることが可能な場合がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27801:CertiK SkyFall Team

ImageIO

対象:Apple Vision Pro

影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27836:Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

IOSurface

対象:Apple Vision Pro

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2024-27828:STAR Labs SG Pte. Ltd.のPan ZhenPeng氏(@Peterpan0927)

Kernel

対象:Apple Vision Pro

影響:カーネルコードの実行をやり遂げた攻撃者が、カーネルメモリ保護を回避できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2024-27840:匿名の研究者

Kernel

対象:Apple Vision Pro

影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-27815:匿名の研究者およびMIT CSAILのJoseph Ravichandran氏(@0xjprx)

libiconv

対象:Apple Vision Pro

影響:アプリが権限を昇格させることが可能な場合がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27811:Nick Wellnhofer氏

Messages

対象:Apple Vision Pro

影響:悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。

説明:この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-27800:Daniel Zajork氏およびJoshua Zajork氏

Metal

対象:Apple Vision Pro

影響:悪意を持って作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

CVE-2024-27802:Trend Micro Zero Day Initiativeに協力するMeysam Firouzi氏(@R00tkitsmm)

Metal

対象:Apple Vision Pro

影響:リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。

説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-27857:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)

Safari

対象:Apple Vision Pro

影響:Webサイトの許可ダイアログが、サイトから離れた後に表示されることがある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2024-27844:Suma Soft Pvt. Ltd.(インド、プネー)のNarendra Bhati氏、Shaheen Fazim氏

Transparency

対象:Apple Vision Pro

影響:アプリが機微なユーザデータにアクセスできる可能性がある。

説明:この問題は、新しいエンタイトルメントによって解決されました。

CVE-2024-27884:Mickey Jin氏(@patch1t)

2024年7月29日に追加

WebKit

対象:Apple Vision Pro

影響:ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明:チェックを強化することで、この問題に対処しました。

WebKit Bugzilla:268765

CVE-2024-27856:Immunity SystemsのMaksymilian Motyl氏、Trend Micro Zero Day Initiativeに協力するJunsung Lee氏、ajajfxhj氏

2025年1月15日に追加

WebKit

対象:Apple Vision Pro

影響:悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明:追加ロジックを追加することで、この問題に対処しました。

WebKit Bugzilla:262337

CVE-2024-27838:MozillaのEmilio Cobos氏

WebKit

対象:Apple Vision Pro

影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:268221

CVE-2024-27808:CISPA Helmholtz Center for Information SecurityのLukas Bernhard氏

WebKit

対象:Apple Vision Pro

影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明:ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-27812:Ryan Pickren氏(ryanpickren.com)

2024年6月20日に更新

WebKit

対象:Apple Vision Pro

影響:悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明:ノイズインジェクションアルゴリズムを改善して、アクセス関連の脆弱性に対処しました。

WebKit Bugzilla:270767

CVE-2024-27850:匿名の研究者

WebKit

対象:Apple Vision Pro

影響:悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。

説明:入力検証を強化することで、整数オーバーフローに対処しました。

WebKit Bugzilla:271491

CVE-2024-27833:Trend Micro Zero Day Initiativeに協力するManfred Paul氏(@_manfp)

WebKit

対象:Apple Vision Pro

影響:悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される可能性がある。

説明:配列境界チェック機能を改善することで、この問題に対処しました。

WebKit Bugzilla:272106

CVE-2024-27851:360 Vulnerability Research InstituteのNan Wang氏(@eternalsakura13)

WebKit Canvas

対象:Apple Vision Pro

影響:悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明:ステート管理を改善し、この問題に対処しました。

WebKit Bugzilla:271159

CVE-2024-27830:CrawlessのJoe Rutkowski氏(@Joe12387)および @abrahamjuliot

WebKit Web Inspector

対象:Apple Vision Pro

影響:Webコンテンツを処理すると、任意のコードを実行される可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:270139

CVE-2024-27820:underpassapp.com のJeff Johnson氏

ご協力いただいたその他の方々

ImageIO

匿名の研究者のご協力に感謝いたします。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: