Сведения о проблемах системы безопасности, устраняемых обновлением visionOS 2.2

В этом документе описаны проблемы системы безопасности, устраняемые в visionOS 2,2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

visionOS 2,2

Crash Reporter

Доступно для: Apple Vision Pro

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-54513: анонимный исследователь

FontParser

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54486: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

ImageIO

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54500: Junsung Lee в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Kernel

Доступно для: Apple Vision Pro

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-44245: анонимный исследователь

Kernel

Доступно для: Apple Vision Pro

Воздействие. Злоумышленник может создать область памяти с доступом только для чтения, в которую возможно записывать данные.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2024-54494: sohybbyk

libexpat

Доступно для: Apple Vision Pro

Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-45490

Passwords

Доступно для: Apple Vision Pro

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может изменять сетевой трафик.

Описание. Проблема устранена путем использования протокола HTTPS при отправке информации по сети.

CVE-2024-54492: Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co)

SceneKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54501: Michael DePlante (@izobashi) из Trend Micro в рамках программы Zero Day Initiative.

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka из Google Project Zero

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-54508: linjy из HKUS3Lab и chluo из WHUSecLab, Xiangwei Zhang из Tencent Security YUNDING LAB

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2024-54505: Gary Kwong

WebKit

Доступно для: Apple Vision Pro

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-54534: Tashita Software Security

Дополнительные благодарности

FaceTime Foundation

Выражаем благодарность за помощь Joshua Pellecchia.

Photos

Выражаем благодарность за помощь Chi Yuan Chang из ZUSO ART и пользователю taikosoup.

Датчик приближения

Выражаем благодарность за помощь Junming C. (@Chapoly1305) и Prof. Qiang Zeng из George Mason University.

Safari Private Browsing

Выражаем благодарность за помощь Richard Hyunho Im (@richeeta) из Route Zero Security.

Swift

Выражаем благодарность за помощь Marc Schoenefeld, Dr. rer. Marc Schoenefeld Schoenefeld.

WebKit

Выражаем благодарность за помощь пользователю Hafiizh.