visionOS 1.1'in güvenlik içeriği hakkında

Bu belgede visionOS 1.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 1.1

Accessibility

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sahte sistem bildirimleri ve kullanıcı arabirimi öğeleri görüntüleyebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2024-23262: Guilherme Rambo, Best Buddy Apps (rambo.codes)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23257: Junsung Lee (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-23258: Pangu ekibinden Zhenjiang Zhao, Qianxin ve CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23235

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2024-23265: Pangu Lab'den Xinru Chi

Kernel

İlgili ürün: Apple Vision Pro

Etki: Rastgele çekirdek okuma ve yazma olanağına sahip bir saldırgan, çekirdek belleği korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23225

Metal

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2024-23264: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

Persona

İlgili ürün: Apple Vision Pro

Etki: Kimliği doğrulanmamış bir kullanıcı, korumalı olmayan bir Persona kullanabilir

Açıklama: Persona'ların daima korumalı olmasının sağlanmasına yardımcı olması için bir izin sorunu giderildi

CVE-2024-23295: Patrick Reardon

RTKit

İlgili ürün: Apple Vision Pro

Etki: Rastgele çekirdek okuma ve yazma olanağına sahip bir saldırgan, çekirdek belleği korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23296

Safari

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23220

UIKit

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğunda Deutsche Telekom Security GmbH

WebKit

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-54658: SecANT'ten anbu1024

WebKit

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23226: Pwn2car

CVE-2024-27859: Pwn2car

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında ses verileri sızdırabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23284: Georg Felber ve Marco Squarcina

Ek teşekkür listesi

Kernel

Yardımları için Tarek Joumaa'ya (@tjkr0wn) ve Junsung Lee'ye (이준성) teşekkür ederiz.

Messages

Petar Mataić'e yardımı için teşekkür ederiz.

Model I/O

Yardımları için Junsung Lee'ye teşekkür ederiz.

Power Management

Yardımları için STAR Labs SG Pte Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) teşekkür ederiz.

Safari

Abhinav Saraswat, Matthew C ve 이동하 (ZeroPointer Lab'den Lee Dong Ha) adlı araştırmacılara yardımları için teşekkür ederiz.

WebKit

Yardımları için TU Wien'den Lorenzo Veronese'ye, Valentino Dalla Valle'ye, Pedro Bernardo'ya ve Marco Squarcina'ya teşekkür ederiz.