Om säkerhetsinnehållet i visionOS 1.1
I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 1.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
visionOS 1.1
Släpptes 7 mars 2024
Accessibility
Tillgängligt för: Apple Vision Pro
Effekt: En app kan förfalska systemnotiser och användargränssnitt
Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.
CVE-2024-23262: Guilherme Rambo på Best Buddy Apps (rambo.codes)
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23257: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-23258: Zhenjiang Zhao på pangu team, Qianxin, och Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations
Uppdaterades 31 maj 2024
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2024-23286: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) och Lyutoon and Mr.R
Uppdaterades 31 maj 2024
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2024-23235
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2024-23265: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En angripare med opålitlig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23225
Metal
Tillgängligt för: Apple Vision Pro
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbete med Trend Micro Zero Day Initiative
Persona
Tillgängligt för: Apple Vision Pro
Effekt: En obehörig användare kan använda en oskyddad Persona
Beskrivning: Ett behörighetsproblem åtgärdades för att säkerställa att Personas alltid är skyddade
CVE-2024-23295: Patrick Reardon
RTKit
Tillgängligt för: Apple Vision Pro
Effekt: En angripare med opålitlig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23296
Safari
Tillgängligt för: Apple Vision Pro
Effekt: En app kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2024-23220
UIKit
Tillgängligt för: Apple Vision Pro
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsrat av Bundesamt für Sicherheit in der Informationstechnik
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: En webbplats med skadligt innehåll kan komma åt ljuddata från flera källor
Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber och Marco Squarcina
Ytterligare tack
Kernel
Vi vill tacka Tarek Joumaa (@tjkr0wn) och 이준성(Junsung Lee) för hjälpen.
Model I/O
Vi vill tacka Junsung Lee för hjälpen.
Power Management
Vi vill tacka Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd. för hjälpen.
Safari
Vi vill tacka Abhinav Saraswat, Matthew C och 이동하 (Lee Dong Ha på ZeroPointer Lab) för hjälpen.
WebKit
Vi vill tacka Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina och Lorenzo Veronese på TU Wien för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.