Informácie o obsahu zabezpečenia v systéme visionOS  2.1

Tento dokument opisuje obsah zabezpečenia systému visionOS 2.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

Informácie o obsahu zabezpečenia systému visionOS 2.1

App Support

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom môže byť schopná spúšťať ľubovoľné skratky bez súhlasu používateľa

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením logiky.

CVE-2024-44255: anonymný výskumník

AppleAVD

Dostupné pre: Apple Vision Pro

Dopad: Analýza súboru videa so škodlivým kódom môže viesť k neočakávanému ukončeniu systému

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44232: Ivan Fratric z tímu Google Project Zero

CVE-2024-44233: Ivan Fratric z tímu Google Project Zero

CVE-2024-44234: Ivan Fratric z tímu Google Project Zero

CoreMedia Playback

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným údajom

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell z tímu Loadshine Lab

CoreText

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44240: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Foundation

Dostupné pre: Apple Vision Pro

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44282: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44215: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44297: Jex Amro

IOSurface

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-44285: anonymný výskumník

Kernel

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Dostupné pre: Apple Vision Pro

Dopad: Používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44262: Justin Saboo

Managed Configuration

Dostupné pre: Apple Vision Pro

Dopad: Obnovenie súboru zálohy so škodlivým kódom môže mať za následok úpravu chránených systémových súborov

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupné pre: Apple Vision Pro

Dopad: Obnovenie súboru zálohy so škodlivým kódom môže mať za následok úpravu chránených systémových súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44277: anonymný výskumník a Yinyi Wu (@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc.

Safari Downloads

Dostupné pre: Apple Vision Pro

Dopad: Útočník môže byť schopný zneužiť vzťah dôvery medzi doménami na stiahnutie obsahu so škodlivým kódom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44259: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Dostupné pre: Apple Vision Pro

Dopad: Pri súkromnom prehliadaní môže dôjsť k úniku histórie prehliadania

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Dostupné pre: Apple Vision Pro

Dopad: Apka so škodlivým kódom môže používať skratky na získanie prístupu k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44269: anonymný výskumník

Siri

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dostupné pre: Apple Vision Pro

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam v systémových protokoloch

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44244: anonymný výskumník, Q1IQ (@q1iqF) a P1umer (@p1umer)

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44296: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Ďalšie poďakovanie

Calendar

Poďakovanie za pomoc si zaslúži K宝 (@Pwnrin).

ImageIO

Poďakovanie za pomoc si zaslúžia Amir Bazine a Karsten König z tímu Counter Adversary Operations spoločnosti CrowdStrike, ako aj anonymný výskumník.

Messages

Poďakovanie za pomoc si zaslúžia Collin Potter a anonymný výskumník.

NetworkExtension

Poďakovanie za pomoc si zaslúži Patrick Wardle zo spoločnosti DoubleYou a organizácie Objective-See Foundation.

Photos

Poďakovanie za pomoc si zaslúži James Robertson.

Safari Private Browsing

Poďakovanie za pomoc si zaslúžia anonymný výskumník a r00tdaddy.

Safari Tabs

Poďakovanie za pomoc si zaslúži Jaydev Ahire.

Security

Poďakovanie za pomoc si zaslúžia Bing Shi, Wenchao Li a Xiaolong Bai zo spoločnosti Alibaba Group.