Om sikkerhetsinnholdet i visionOS  2.1

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 2.1

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

Om sikkerhetsinnholdet i visionOS 2.1

App Support

Tilgjengelig for: Apple Vision Pro

Virkning: En skadelig app kan være i stand til å kjøre vilkårlige snarveier uten brukerens samtykke

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.

CVE-2024-44255: en anonym forsker

AppleAVD

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig videofil kan føre til uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

CoreMedia Playback

Tilgjengelig for: Apple Vision Pro

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av bilder kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44215: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44297: Jex Amro

IOSurface

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-44285: en anonym forsker

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Tilgjengelig for: Apple Vision Pro

Virkning: En bruker kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44262: Justin Saboo

Managed Configuration

Tilgjengelig for: Apple Vision Pro

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Tilgjengelig for: Apple Vision Pro

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44277: en anonym forsker og Yinyi Wu (@_3ndy1) fra Dawn Security Lab fra JD.com, Inc.

Safari Downloads

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan være i stand til å misbruke et klareringsforhold for å laste ned ondsinnet innhold

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44259: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Tilgjengelig for: Apple Vision Pro

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Tilgjengelig for: Apple Vision Pro

Virkning: En skadelig app kan bruke snarveier for å få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44269: en anonym forsker

Siri

Tilgjengelig for: Apple Vision Pro

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Tilgjengelig for: Apple Vision Pro

Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2024-44244: En anonym forsker, Q1IQ (@q1iqF) og P1umer (@p1umer)

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44296: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Ytterligere anerkjennelser

Calendar

Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.

ImageIO

Vi vil gjerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym forsker for hjelpen.

Messages

Vi vil gjerne takke Collin Potter, en anonym forsker for hjelpen.

NetworkExtension

Vi vil gjerne takke Patrick Wardle fra DoubleYou og Objective-See Foundation for hjelpen.

Photos

Vi vil gjerne takke James Robertson for hjelpen.

Safari Private Browsing

Vi vil gjerne takke en anonym forsker, r00tdaddy, for hjelpen.

Safari Tabs

Vi vil gjerne takke Jaydev Ahire for hjelpen.

Security

Vi vil gjerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjelpen.