Om sikkerhetsinnholdet i visionOS  2.2

Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 2.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

visionOS 2.2

APFS

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym forsker

Crash Reporter

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-54513: en anonym forsker

FontParser

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ICU

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-54478: Gary Kwong

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-54499: Anonymous i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54500: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44245: en anonym forsker

Kernel

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper kan være i stand til å opprette en skrivebeskyttet minnetilordning som er skrivbar

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2024-54494: sohybbyk

libexpat

Tilgjengelig for: Apple Vision Pro

Virkning: En ekstern bruker kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-45490

Passkeys

Tilgjengelig for: Apple Vision Pro

Virkning: Automatisk utfylling av passord kan fylle ut passord etter mislykket godkjenning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Passwords

Tilgjengelig for: Apple Vision Pro

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å endre nettverkstrafikk

Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

QuartzCore

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54497: Anonymous i samarbeid med Trend Micro Zero Day Initiative

SceneKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micro's Zero Day Initiative

Vim

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-45306

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-54505: Gary Kwong

WebKit

Tilgjengelig for: Apple Vision Pro

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym forsker

Ytterligere anerkjennelser

FaceTime Foundation

Vi vil gjerne takke Joshua Pellecchia for hjelpen.

Photos

Vi vil gjerne takke Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.

Proximity

Vi vil gjerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjelpen.

Safari Private Browsing

Vi vil gjerne takke Richard Hyunho Im (@richeeta) fra Route Zero Security for hjelpen.

Swift

Vi vil gjerne takke Marc Schoenefeld, Dr. rer. nat. for hjelpen.

WebKit

Vi vil gjerne takke Hafiizh for hjelpen.