Over de beveiligingsinhoud van visionOS 2.1

In dit document wordt de beveiligingsinhoud van visionOS 2.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

Over de beveiligingsinhoud van visionOS 2.1

App Support

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadwillige app kan mogelijk willekeurige sneltoetsen uitvoeren zonder de toestemming van de gebruiker

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2024-44255: een anonieme onderzoeker

AppleAVD

Beschikbaar voor: Apple Vision Pro

Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44232: Ivan Fratric van Google Project Zero

CVE-2024-44233: Ivan Fratric van Google Project Zero

CVE-2024-44234: Ivan Fratric van Google Project Zero

CoreMedia Playback

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell van Loadshine Lab

CoreText

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44240: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Foundation

Beschikbaar voor: Apple Vision Pro

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-44282: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-44215: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44297: Jex Amro

IOSurface

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2024-44285: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple Vision Pro

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Beschikbaar voor: Apple Vision Pro

Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44262: Justin Saboo

Managed Configuration

Beschikbaar voor: Apple Vision Pro

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Beschikbaar voor: Apple Vision Pro

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44277: een anonieme onderzoeker en Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc.

Safari Downloads

Beschikbaar voor: Apple Vision Pro

Impact: een aanvaller kan mogelijk misbruik maken van een vertrouwensrelatie om kwaadaardig materiaal te downloaden

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44259: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Beschikbaar voor: Apple Vision Pro

Impact: in de privémodus kan enige browsergeschiedenis uitlekken

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot vertrouwelijke bestanden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44269: een anonieme onderzoeker

Siri

Beschikbaar voor: Apple Vision Pro

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Beschikbaar voor: Apple Vision Pro

Impact: een app heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens in systeemlogboeken

Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2024-44244: een anonieme onderzoeker, Q1IQ (@q1iqF) en P1umer (@p1umer)

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44296: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Aanvullende erkenning

Calendar

Met dank aan K宝 (@Pwnrin) voor de hulp.

ImageIO

Met dank aan Amir Bazine en Karsten König van CrowdStrike Counter Adversary Operations, een anonieme onderzoeken voor de hulp.

Berichten

Met dank aan Collin Potter, een anonieme onderzoeker, voor de hulp.

NetworkExtension

Met dank aan Patrick Wardle van DoubleYou & the Objective-See Foundation voor de hulp.

Foto's

Met dank aan James Robertson voor de hulp.

Safari Private Browsing

Met dank aan een anonieme onderzoeker, r00tdaddy voor de hulp.

Safari Tabs

Met dank aan Jaydev Ahire voor de hulp.

Beveiliging

Met dank aan Bing Shi, Wenchao Li en Xiaolong Bai van Alibaba Group voor de hulp.