Despre conținutul de securitate din visionOS 1.2
Acest document descrie conținutul de securitate din visionOS 1.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
visionOS 1.2
Lansare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations
Disk Images
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27832: un cercetător anonim
Foundation
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27836: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative
IOSurface
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27840: un cercetător anonim
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL
libiconv
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27811: Nick Wellnhofer
Messages
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27800: Daniel Zajork și Joshua Zajork
Metal
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) în colaborare cu Trend Micro Zero Day Initiative
Metal
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-27857: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
Safari
Disponibilitate pentru: Apple Vision Pro
Impact: Dialogul de permisiune al unui site web poate persista după navigarea departe de site-ul respectiv.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (India), Shaheen Fazim
Transparency
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin noi drepturi.
CVE-2024-27884: Mickey Jin (@patch1t)
Intrare adăugată pe 29 iulie 2024
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Intrare actualizată pe 20 iunie 2024
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Această problemă a fost rezolvată prin îmbunătățiri aduse algoritmului de injectare a zgomotului.
WebKit Bugzilla: 270767
CVE-2024-27850: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
WebKit Canvas
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot
WebKit Web Inspector
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Alte mențiuni
ImageIO
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.