Om säkerhetsinnehållet i visionOS 1.2
I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 1.2.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
visionOS 1.2
Släpptes den 10 juni 2024
CoreMedia
Tillgängligt för: Apple Vision Pro
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27817: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab
CoreMedia
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-27831: Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations
Disk Images
Tillgängligt för: Apple Vision Pro
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27832: en anonym forskare
Foundation
Tillgängligt för: Apple Vision Pro
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27836: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
IOSurface
Tillgängligt för: Apple Vision Pro
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kernelns minnesskydd
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27840: en anonym forskare
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-27815: en anonym forskare och Joseph Ravichandran (@0xjprx) på MIT CSAIL
libiconv
Tillgängligt för: Apple Vision Pro
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27811: Nick Wellnhofer
Messages
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av ett skadligt meddelande kan leda till att åtkomst till tjänsten nekas
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-27800: Daniel Zajork och Joshua Zajork
Metal
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbete med Trend Micro Zero Day Initiative
Metal
Tillgängligt för: Apple Vision Pro
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2024-27857: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
Safari
Tillgängligt för: Apple Vision Pro
Effekt: En webbplats dialogruta för behörigheter kan vara kvar efter att man lämnar webbplatsen
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27844: Narendra Bhati på Suma Soft Pvt. Ltd i Pune (Indien), Shaheen Fazim
Transparency
Tillgängligt för: Apple Vision Pro
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med en ny behörighet.
CVE-2024-27884: Mickey Jin (@patch1t)
Lades till 29 juli 2024
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom utökad logik.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos på Mozilla
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard på CISPA Helmholtz Center for Information Security
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad filhantering.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Uppdaterades 20 juni 2024
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades med förbättringar av algoritmen för brusinjektion.
WebKit Bugzilla: 270767
CVE-2024-27850: en anonym forskare
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) i samarbete med Trend Micro Zero Day Initiative
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) på 360 Vulnerability Research Institute
WebKit Canvas
Tillgängligt för: Apple Vision Pro
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) på Crawless och @abrahamjuliot
WebKit Web Inspector
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson på underpassapp.com
Ytterligare tack
ImageIO
Vi vill tacka en anonym forskare för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.