Despre conținutul de securitate din visionOS 2

Acest document descrie conținutul de securitate din visionOS 2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

visionOS 2

ARKit

Disponibilitate pentru: Apple Vision Pro

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44126: Holger Fuhrmannek

APFS

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Disponibilitate pentru: Apple Vision Pro

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Disponibilitate pentru: Apple Vision Pro

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r sau ZeroPointer Lab, lucrând în colaborare cu Trend Micro Zero Day Initiative și un cercetător anonim

IOSurfaceAccelerator

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Disponibilitate pentru: Apple Vision Pro

Impact: traficul de rețea s-ar putea scurge în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

libxml2

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de la Google Project Zero

mDNSResponder

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Model I/O

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-5841

Notes

Disponibilitate pentru: Apple Vision Pro

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

Presence

Disponibilitate pentru: Apple Vision Pro

Impact: O aplicație ar putea fi capabilă să citească date sensibile din memoria GPU

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2024-40790: Max Thomas

SceneKit

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40857: Ron Masas

WebKit

Disponibilitate pentru: Apple Vision Pro

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Alte mențiuni

Kernel

Dorim să îi mulțumim lui Braxton Anderson pentru asistență.

Maps

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Passwords

Dorim să-i mulțumim lui Richard Hyunho Im (@r1cheeta) pentru asistență.

TCC

Dorim să-i mulțumim lui Vaibhav Prajapati pentru asistență.

WebKit

Dorim să îi mulțumim lui Avi Lumelsky din cadrul Oligo Security, lui Uri Katz din cadrul Oligo Security, lui Eli Grey (eligrey.com) și lui Johan Carlsson (joaxcar) pentru asistența acordată.