visionOS 2.1

Bu belgede visionOS 2.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 2.1'in güvenlik içeriği hakkında

App Support

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kullanıcı izni olmadan rastgele kısayollar çalıştırabilir

Açıklama: Mantık işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2024-44255: anonim bir araştırmacı

AppleAVD

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının ayrıştırılması sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2024-44232: Google Project Zero'dan Ivan Fratric

CVE-2024-44233: Google Project Zero'dan Ivan Fratric

CVE-2024-44234: Google Project Zero'dan Ivan Fratric

CoreMedia Playback

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2024-44273: Hikerell of Loadshine Lab'den pattern-f (@pattern_F_)

CoreText

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44240: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CVE-2024-44302: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Foundation

İlgili ürün: Apple Vision Pro

Etki: Bir dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-44282: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-44215: Trend Micro Zero Day Initiative ile çalışan Junsung Lee

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi, servis reddine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2024-44297: Jex Amro

IOSurface

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-44285: anonim bir araştırmacı

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

İlgili ürün: Apple Vision Pro

Etki: Bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-44262: Justin Saboo

Managed Configuration

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir yedekleme dosyasının geri yüklenmesi korunan sistem dosyalarının değişmesine neden olabilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir yedekleme dosyasının geri yüklenmesi korunan sistem dosyalarının değişmesine neden olabilir

Açıklama: Dosya işleme iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına veya çekirdek belleğin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44277: anonim bir araştırmacı ve Dawn Security Lab of JD.com, Inc. çalışanı Yinyi Wu(@_3ndy1)

Safari Downloads

İlgili ürün: Apple Vision Pro

Etki: Bir saldırgan, kötü amaçlı içerikleri indirmek üzere güven ilişkisini kötüye kullanabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44259: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Safari Private Browsing

İlgili ürün: Apple Vision Pro

Etki: Özel dolaşma, bazı dolaşma geçmişi verilerini sızdırabilir

Açıklama: Ek doğrulama işlemi ile bilgi sızıntısı giderildi.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kısıtlı dosyalara erişmek için kısayollar kullanabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44269: anonim bir araştırmacı

Siri

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-44194: Rodolphe BRUNETTI (@eisw0lf)

Siri

İlgili ürün: Apple Vision Pro

Etki: Koruma alanı içindeki bir uygulama, sistem günlüklerindeki hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-44244: anonim bir araştırmacı, Q1IQ (@q1iqF) ve P1umer (@p1umer)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44296: Suma Soft Pvt. Ltd, Pune (Hindistan) şirketinden Siber Güvenlik Yöneticisi Narendra Bhati

Ek teşekkür listesi

Calendar

K宝(@Pwnrin) yardımı için teşekkür ederiz.

ImageIO

CrowdStrike Counter Adversary Operations'dan Amir Bazine ve Karsten König'e ve anonim bir araştırmacıya yardımı için teşekkür ederiz.

Messages

Collin Potter'a ve anonim bir araştırmacıya yardımı için teşekkür ederiz.

NetworkExtension

DoubleYou & the Objective-See Foundation'dan Patrick Wardle'a yardımları için teşekkür ederiz.

Photos

Yardımı için James Robertson'a teşekkür ederiz.

Safari Private Browsing

Anonim bir araştırmacıya ve r00tdaddy'ye yardımı için teşekkür ederiz.

Safari Tabs

Jaydev Ahire'ye yardımı için teşekkür ederiz.

Security

Alibaba Group'tan Bing Shi, Wenchao Li ve Xiaolong Bai'ye yardımı için teşekkür ederiz.