visionOS 1.3'ün güvenlik içeriği hakkında
Bu belgede visionOS 1.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği
visionOS 1.3
Yayınlanma tarihi: 29 Temmuz 2024
Apple Neural Engine
İlgili ürün: Apple Vision Pro
Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-27826: Minghao Lin ve Baidu Security'den Ye Zhang (@VAR10CK)
AppleAVD
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.
CVE-2024-40799: D4m0n
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Bir görüntünün işlenmesi servis reddine neden olabilir
Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.
CVE-2023-6277
CVE-2023-52356
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.
CVE-2024-40806: Yisumi
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.
CVE-2024-40777: Trend Micro Zero Day Initiative ile çalışan Junsung Lee ile CrowdStrike Counter Adversary Operations'dan Amir Bazine ve Karsten König
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.
CVE-2024-40784: Gandalf4a ve Trend Micro Zero Day Initiative ile çalışan Junsung Lee
Kernel
İlgili ürün: Apple Vision Pro
Etki: Yerel bir saldırgan çekirdek belleği düzenini belirleyebilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.
CVE-2024-27863: CertiK SkyFall Ekibi
Kernel
İlgili ürün: Apple Vision Pro
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sahte ağ paketleri gönderebilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2024-27823: Bar-Ilan Üniversitesi'nden Prof. Benny Pinkas, İbrani Üniversitesi'nden Prof. Amit Klein ve EP
Kernel
İlgili ürün: Apple Vision Pro
Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2024-40788: Zhejiang Üniversitesi'nden Minghao Lin ve Jiaxun Zhu
Presence
İlgili ürün: Apple Vision Pro
Etki: Sanal klavyedeki girişler Persona'dan alınabilir
Açıklama: Bu sorun, sanal klavye etkinken Persona'nın askıya alınmasıyla giderilmiştir.
CVE-2024-40865: University of Florida'dan Hanqiu Wang, Texas Tech University'den Zihao Zhan, Certik'ten Haoqi Shan, University of Florida'dan Siqi Dai, University of Florida'dan Max Panoff ve University of Florida'dan Shuo Wang
Giriş eklenme tarihi: 5 Eylül 2024
Shortcuts
İlgili ürün: Apple Vision Pro
Etki: Bir kestirme internet izin gereksinimlerini atlayabilir
Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.
CVE-2024-40809: anonim bir araştırmacı
CVE-2024-40812: anonim bir araştırmacı
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
WebKit Bugzilla: 273176
CVE-2024-40776: Ant Group Light-Year Security Lab'den Huang Xilin
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
WebKit Bugzilla: 275431
CVE-2024-40779: Ant Group Light-Year Security Lab'den Huang Xilin
WebKit Bugzilla: 275273
CVE-2024-40780: Ant Group Light-Year Security Lab'den Huang Xilin
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.
CVE-2024-40789: Trend Micro Zero Day Initiative ile çalışan KAIST Hacking Lab'den Seunghyun Lee (@0x10n)
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Giriş eklenme tarihi: 15 Ekim 2024
WebKit
İlgili ürün: Apple Vision Pro
Etki: Bir kullanıcı bazı web içeriği kısıtlamalarını aşabilir
Açıklama: Mantıkta iyileştirme yapılarak URL protokollerinin işlenmesiyle ilgili bir sorun giderildi.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger ve Ro Achterberg
Giriş eklenme tarihi: 15 Ekim 2024
Ek teşekkür listesi
AirDrop
DEVCORE'den Linwz'e yardımı için teşekkür ederiz.
Shortcuts
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.