Om säkerhetsinnehållet i visionOS 1.3

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 1.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

visionOS 1.3

Apple Neural Engine

Tillgängligt för: Apple Vision Pro

Effekt: En lokal angripare kanske kan orsaka en oväntad systemavstängning

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27826: Ye Zhang (@VAR10CK) på Baidu Security och Minghao Lin

AppleAVD

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

CoreGraphics

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40799: D4m0n

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40806: Yisumi

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40777: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, och Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-40784: Junsung Lee i samarbete med Trend Micro Zero Day Initiative och Gandalf4a

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En lokal angripare kanske kan ta reda på schemat för kernelminnet

Beskrivning: Ett problem med att information avslöjades åtgärdades med förbättrad redigering av privata data för loggposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En angripare i behörig nätverksposition kanske kan förfalska nätverkspaket

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-27823: Prof. Benny Pinkas på Bar-Ilan University, Prof. Amit Klein på Hebrew University och EP

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En lokal angripare kanske kan orsaka en oväntad systemavstängning

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-40788: Minghao Lin och Jiaxun Zhu från Zhejiang University

Presence

Tillgängligt för: Apple Vision Pro

Effekt: Inmatningar till det virtuella tangentbordet kan härledas från Persona

Beskrivning: Problemet åtgärdades genom att Persona görs otillgängligt när det virtuella tangentbordet är aktivt.

CVE-2024-40865: Hanqiu Wang på University of Florida, Zihao Zhan på Texas Tech University, Haoqi Shan på Certik, Siqi Dai of University of Florida, Max Panoff på University of Florida och Shuo Wang på University of Florida

Shortcuts

Tillgängligt för: Apple Vision Pro

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-40809: En anonym forskare

CVE-2024-40812: En anonym forskare

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-40776: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40779: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin på Ant Group Light-Year Security Lab

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40789: Seunghyun Lee (@0x10n) på KAIST Hacking Lab i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: En användare kanske kan kringgå vissa webbinnehållsbegränsningar

Beskrivning: Ett problem med hanteringen av URL-protokoll löstes med förbättrad logik.

CVE-2024-44206: Andreas Jaegersberger och Ro Achterberg

Ytterligare tack

AirDrop

Vi vill tacka Linwz på DEVCORE för hjälpen.

Shortcuts

Vi vill tacka en anonym forskare för hjälpen.