visionOS 2.1のセキュリティコンテンツについて
visionOS 2.1のセキュリティコンテンツについて説明します。
Appleセキュリティアップデートについて
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
visionOS 2.1のセキュリティコンテンツについて
2024年10月28日リリース
App Support
対象:Apple Vision Pro
影響:悪意を持って作成されたアプリがユーザの承諾なしに任意のショートカットを実行できる可能性がある。
説明:ロジックを改善することで、パスの処理における脆弱性に対処しました。
CVE-2024-44255:匿名の研究者
AppleAVD
対象:Apple Vision Pro
影響:悪意を持って作成されたビデオファイルを解析すると、予期せずシステムが終了する可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2024-44232:Google Project ZeroのIvan Fratric氏
CVE-2024-44233:Google Project ZeroのIvan Fratric氏
CVE-2024-44234:Google Project ZeroのIvan Fratric氏
2024年11月1日に追加
CoreMedia Playback
対象:Apple Vision Pro
影響:悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。
説明:シンボリックリンクの処理を改善することで、この問題に対処しました。
CVE-2024-44273:pattern-f氏(@pattern_F_)、Loadshine LabのHikerell氏
CoreText
対象:Apple Vision Pro
影響:悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-44240:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
CVE-2024-44302:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
Foundation
対象:Apple Vision Pro
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2024-44282:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
ImageIO
対象:Apple Vision Pro
影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-44215:Trend Micro Zero Day Initiativeに協力するJunsung Lee氏
ImageIO
対象:Apple Vision Pro
影響:悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2024-44297:Jex Amro氏
IOSurface
対象:Apple Vision Pro
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2024-44285:匿名の研究者
Kernel
対象:Apple Vision Pro
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、情報漏洩の脆弱性に対処しました。
CVE-2024-44239:Mateusz Krzywicki氏(@krzywix)
Lock Screen
対象:Apple Vision Pro
影響:ユーザが、ユーザの機微情報を閲覧できる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-44262:Justin Saboo氏
Managed Configuration
対象:Apple Vision Pro
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:シンボリックリンクの処理を改善することで、この問題に対処しました。
CVE-2024-44258:Hichem Maloufi氏、Christian Mina氏、Ismail Amzdak氏
MobileBackup
対象:Apple Vision Pro
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-44252:Nimrat Khalsa氏、Davis Dai氏、James Gill氏(@jjtech@infosec.exchange)
Pro Res
対象:Apple Vision Pro
影響:アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-44277:JD.com, Inc.のDawn Security Labの匿名の研究者およびYinyi Wu氏(@_3ndy1)
Safari Downloads
対象:Apple Vision Pro
影響:攻撃者が信頼関係を悪用して、悪意のあるコンテンツをダウンロードする場合がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-44259:Suma Soft Pvt. Ltd.(インド、プネー)のNarendra Bhati氏(Manager of Cyber Security)
Safari Private Browsing
対象:Apple Vision Pro
影響:プライベートブラウズで一部の閲覧履歴が漏洩する可能性がある。
説明:検証を強化することで、情報漏洩に対処しました。
CVE-2024-44229:Lucas Di Tomase氏
Shortcuts
対象:Apple Vision Pro
影響:悪意のあるアプリによって、制限されたファイルにショートカットを使ってアクセスされる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-44269:匿名の研究者
Siri
対象:Apple Vision Pro
影響:アプリがユーザの機微データにアクセスできる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-44194:Rodolphe Brunetti氏(@eisw0lf)
Siri
対象:Apple Vision Pro
影響:サンドボックス化されたアプリがシステムログの機微なユーザデータにアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、情報漏洩の脆弱性に対処しました。
CVE-2024-44278:Kirin氏(@Pwnrin)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
WebKit Bugzilla:279780
CVE-2024-44244:匿名の研究者、Q1IQ氏(@q1iqF)およびP1umer氏(@p1umer)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:278765
CVE-2024-44296:Suma Soft Pvt. Ltd.(インド、プネー)のNarendra Bhati氏(Manager of Cyber Security)
ご協力いただいたその他の方々
Calendar
K宝氏(@Pwnrin)のご協力に感謝いたします。
ImageIO
CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏、匿名の研究者のご協力に感謝いたします。
Messages
Collin Potter氏、匿名の研究者のご協力に感謝いたします。
NetworkExtension
DoubleYouおよびObjective-See FoundationのPatrick Wardle氏のご協力に感謝いたします。
Photos
James Robertson氏のご協力に感謝いたします。
Safari Private Browsing
匿名の研究者、r00tdaddy氏のご協力に感謝いたします。
Safari Tabs
Jaydev Ahire氏のご協力に感謝いたします。
Security
Alibaba GroupのBing Shi氏、Wenchao Li氏、Xiaolong Bai氏のご協力に感謝いたします。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。