เกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 2.1
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 2.1
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
เกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 2.1
เผยแพร่เมื่อวันที่ 28 ตุลาคม 2024
App Support
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถเรียกใช้คำสั่งลัดโดยพลการโดยไม่ได้รับความยินยอมจากผู้ใช้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2024-44255: นักวิจัยนิรนาม
AppleAVD
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การแยกวิเคราะห์ไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2024-44232: Ivan Fratric จาก Google Project Zero
CVE-2024-44233: Ivan Fratric จาก Google Project Zero
CVE-2024-44234: Ivan Fratric จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 1 พฤศจิกายน 2024
CoreMedia Playback
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab
CoreText
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2024-44240: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
Foundation
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2024-44282: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
ImageIO
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-44215: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ImageIO
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2024-44297: Jex Amro
IOSurface
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้ข้อมูลหน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-44285: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Lock Screen
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: ผู้ใช้อาจดูข้อมูลผู้ใช้ที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2024-44262: Justin Saboo
Managed Configuration
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การกู้คืนไฟล์สำรองข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการดัดแปลงไฟล์ระบบที่ได้รับการป้องกัน
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การกู้คืนไฟล์สำรองข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการดัดแปลงไฟล์ระบบที่ได้รับการป้องกัน
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ให้ดียิ่งขึ้น
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้ข้อมูลหน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-44277: นักวิจัยนิรนามและ Yinyi Wu(@_3ndy1) จาก Dawn Security Lab of JD.com, Inc.
Safari Downloads
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: ผู้โจมตีอาจสามารถนำความสัมพันธ์แบบเชื่อใจไปใช้ในทางที่ผิดเพื่อดาวน์โหลดคอนเทนต์ที่ประสงค์ร้าย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-44259: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
Safari Private Browsing
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การท่องเว็บแบบส่วนตัวอาจทำให้ประวัติการท่องเว็บบางส่วนรั่วไหล
คำอธิบาย: ข้อมูลรั่วไหลได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2024-44229: Lucas Di Tomase
Shortcuts
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปที่ประสงค์ร้ายอาจใช้คำสั่งลัดเพื่อเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-44269: นักวิจัยนิรนาม
Siri
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปในแซนด์บ็อกซ์อาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ในบันทึกระบบได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 279780
CVE-2024-44244: นักวิจัยนิรนาม, Q1IQ (@q1iqF) และ P1umer (@p1umer)
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
คำขอบคุณพิเศษ
Calendar
เราขอขอบคุณสำหรับความช่วยเหลือจาก K宝(@Pwnrin)
ImageIO
เราขอขอบคุณสำหรับความช่วยเหลือจาก Amir Bazine และ Karsten König นักวิจัยนิรนามจาก CrowdStrike Counter Adversary Operations
Messages
เราขอขอบคุณสำหรับความช่วยเหลือจาก Collin Potter นักวิจัยนิรนาม
NetworkExtension
เราขอขอบคุณสำหรับความช่วยเหลือจาก Patrick Wardle จาก DoubleYou และ Objective-See Foundation
Photos
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Robertson
Safari Private Browsing
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม, r00tdaddy
Safari Tabs
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jaydev Ahire
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bing Shi, Wenchao Li และ Xiaolong Bai จาก Alibaba Group
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม