Om säkerhetsinnehållet i visionOS 2.2

Det här dokumentet beskriver säkerhetsinnehållet i visionOS 2.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

visionOS 2.2

APFS

Tillgängligt för: Apple Vision Pro

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) och en anonym forskare

Crash Reporter

Tillgängligt för: Apple Vision Pro

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-54513: En anonym forskare

FontParser

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

ICU

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-54478: Gary Kwong

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-54499: Anonym i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54500: Junsung Lee i samarbete med Trend Micro Zero Day Initiative

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En app kan leda till oväntad systemavstängning eller korrumpering till kernelminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44245: En anonym forskare

Kernel

Tillgängligt för: Apple Vision Pro

Effekt: En angripare kan skapa en mappning till ett skrivskyddad minne som det går att skriva till

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2024-54494: sohybbyk

libexpat

Tillgängligt för: Apple Vision Pro

Effekt: En fjärrangripare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-45490

Passkeys

Tillgängligt för: Apple Vision Pro

Effekt: Automatisk ifyllnad av lösenord kan fylla i lösenord efter misslyckad autentisering

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram Indien, Rakeshkumar Talaviya

Passwords

Tillgängligt för: Apple Vision Pro

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Detta problem åtgärdades genom att använda HTTPS när information skickas över nätverket.

CVE-2024-54492: Talal Haj Bakry och Tommy Mysk på Mysk Inc. (@mysk_co)

QuartzCore

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54497: Anonym i samarbete med Trend Micro Zero Day Initiative

SceneKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till att tjänsten nekas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) på Trend Micros Zero Day Initiative

Vim

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av en skadlig fil kan leda till heap-fel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-45306

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka på Google Project Zero

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54508: linjy på HKUS3Lab, chluo på WHUSecLab och Xiangwei Zhang på Tencent Security YUNDING LAB

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-54505: Gary Kwong

WebKit

Tillgängligt för: Apple Vision Pro

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong och en anonym forskare

Ytterligare tack

FaceTime Foundation

Vi vill tacka Joshua Pellecchia för hjälpen.

Photos

Vi vill tacka Chi Yuan Chang of ZUSO ART och taikosoup för hjälpen.

Proximity

Vi vill tacka Junming C. (@Chapoly1305) och professor Qiang Zeng från George Mason University för hjälpen.

Safari Private Browsing

Vi vill tacka Richard Hyunho Im (@richeeta) med Route Zero Security för hjälpen.

Swift

Vi vill tacka Marc Schoenefeld, Dr. rer. nat. för hjälpen.

WebKit

Vi vill tacka Hafiizh för hjälpen.