Om säkerhetsinnehållet i visionOS  2

I det här dokumentet beskrivs säkerhetsinnehållet i visionOS 2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

visionOS 2

ARKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till heap-fel

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44126: Holger Fuhrmannek

APFS

Tillgängligt för: Apple Vision Pro

Effekt: En skadlig app med rotbehörigheter kan ändra innehållet i systemfiler

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Tillgängligt för: Apple Vision Pro

Effekt: Uppackning av ett arkiv med skadligt innehåll kan göra det möjligt för en angripare att skriva opålitliga filer

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Tillgängligt för: Apple Vision Pro

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med filåtkomst åtgärdades genom förbättrad indatavalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27880: Junsung Lee

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-44176: dw0r på ZeroPointer Lab i samarbete med Trend Micro Zero Day Initiative och en anonym forskare

IOSurfaceAccelerator

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44169: Antonio Zekić

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: Nätverkstrafik kan läcka utanför en VPN-tunnel

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-44165: Andrew Lytvynov

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En app kan få obehörig åtkomst till Bluetooth

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) och Mathy Vanhoef

libxml2

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-44198: OSS-Fuzz, Ned Williamson på Google Project Zero

mDNSResponder

Tillgängligt för: Apple Vision Pro

Effekt: En app kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett logikfel åtgärdades genom förbättrad filhantering.

CVE-2024-44183: Olivier Levon

Model I/O

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-5841

Notes

Tillgängligt för: Apple Vision Pro

Effekt: En app kan skriva över opålitliga filer

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-44167: ajajfxhj

Presence

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan läsa känsliga data från grafikprocessorminnet.

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2024-40790: Max Thomas

SceneKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.

CVE-2024-44144: 냥냥

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40857: Ron Masas

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett problem med data från flera källor förekom i ”iframe”-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security på Suma Soft Pvt. Ltd, Pune (Indien)

Ytterligare tack

Kernel

Vi vill tacka Braxton Anderson för hjälpen.

Maps

Vi vill tacka Kirin (@Pwnrin) för hjälpen.

Passwords

Vi vill tacka Richard Hyunho Im (@r1cheeta) för hjälpen.

TCC

Vi vill tacka Vaibhav Prajapati för hjälpen.

WebKit

Vi vill tacka Avi Lumelsky på Oligo Security, Uri Katz på Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) för hjälpen.