Om sikkerhetsinnholdet i visionOS 1.3

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 1.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

visionOS 1.3

Apple Neural Engine

Tilgjengelig for: Apple Vision Pro

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27826: Ye Zhang (@VAR10CK) hos Baidu Security og Minghao Lin

AppleAVD

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

CoreGraphics

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40777: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König hos CrowdStrike Counter Adversary Operations

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2024-40784: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative og Gandalf4a

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En lokal angriper kan bestemme oppsett av kjerneminne

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper med en nettverksplassering med rettigheter kan forfalske nettverkspakker

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2024-27823: Prof. Benny Pinkas ved Bar-Ilan University, Prof. Amit Klein ved Hebrew University og EP

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

Presence

Tilgjengelig for: Apple Vision Pro

Virkning: Inndata til skjermtastaturet kan deduseres fra Persona

Beskrivelse: Problemet er utbedret ved å koble ut Persona når skjermtastaturet er aktivt.

CVE-2024-40865: Hanqiu Wang ved University of Florida, Zihao Zhan ved Texas Tech University, Haoqi Shan hos Certik, Siqi Dai ved University of Florida, Max Panoff ved University of Florida og Shuo Wang ved University of Florida

Shortcuts

Tilgjengelig for: Apple Vision Pro

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40809: en anonym forsker

CVE-2024-40812: en anonym forsker

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-40776: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-40779: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin hos Ant Group Light-Year Security Lab

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40789: Seunghyun Lee (@0x10n) hos KAIST Hacking Lab i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: En bruker kan omgå visse restriksjoner på nettinnhold

Beskrivelse: Et problem i håndteringen av nettadresseprotokoller ble løst med forbedret logikk.

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg

Ytterligere anerkjennelser

AirDrop

Vi vil gjerne takke Linwz fra DEVCORE for hjelpen.

Shortcuts

Vi vil gjerne takke en anonym forsker for hjelpen.