Проблеми системи безпеки, які усунено в оновленні visionOS 1.3
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 1.3.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 1.3
Дата випуску: 29 липня 2024 р.
Apple Neural Engine
Цільові продукти: Apple Vision Pro
Вплив: локальний зловмисник може спричиняти несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-27826: Ye Zhang (@VAR10CK) із Baidu Security та Minghao Lin
AppleAVD
Цільові продукти: Apple Vision Pro
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-40799: користувач D4m0n
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: це вразливість у відкритому вихідному коді, а програмне забезпечення Apple є одним із проєктів, що зазнали цього впливу. Ідентифікатор CVE призначила стороння організація. Дізнайтесь більше про проблему та ідентифікатор CVE-ID на сайті cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-40806: користувач Yisumi
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-40777: Junsung Lee, який працює з Trend Micro Zero Day Initiative, а також Amir Bazine і Karsten König із CrowdStrike Counter Adversary Operations
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-40784: Junsung Lee, який працює з Trend Micro Zero Day Initiative, і користувач Gandalf4a
Kernel
Цільові продукти: Apple Vision Pro
Вплив: локальний зловмисник може визначати схему розподілу пам’яті в ядрі
Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2024-27863: команда CertiK SkyFall
Kernel
Цільові продукти: Apple Vision Pro
Вплив: зловмисник із привілейованим положенням у мережі може імітувати мережеві пакети.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2024-27823: професор Benny Pinkas із Bar-Ilan University, професор Amit Klein із Hebrew University та EP
Kernel
Цільові продукти: Apple Vision Pro
Вплив: локальний зловмисник може спричиняти несподіване завершення роботи системи.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
CVE-2024-40788: Minghao Lin і Jiaxun Zhu з Zhejiang University
Presence
Цільові продукти: Apple Vision Pro
Вплив: Persona могла блокувати введення з віртуальної клавіатури.
Опис: проблему вирішено шляхом прибирання Persona, коли активна віртуальна клавіатура.
CVE-2024-40865: Hanqiu Wang з Університету Флориди, Zihao Zhan з Техаського технологічного університету, Haoqi Shan із Certik, Siqi Dai з Університету Флориди, Max Panoff з Університету Флориди та Shuo Wang з Університету Флориди
Запис додано 5 вересня 2024 р.
Shortcuts
Цільові продукти: Apple Vision Pro
Вплив: швидка команда може обходити вимоги для дозволів на доступ до Інтернету.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2024-40809: анонімний дослідник
CVE-2024-40812: анонімний дослідник
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin з Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin з Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin з Ant Group Light-Year Security Lab
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до атаки за допомогою міжсайтових сценаріїв.
Опис: цю проблему усунено завдяки поліпшенню перевірок.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-40789: Seunghyun Lee (@0x10n) із KAIST Hacking Lab, який працює з Trend Micro Zero Day Initiative
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Запис додано 15 жовтня 2024 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: користувач може обходити деякі обмеження вебконтенту
Опис: проблему з обробкою URL-протоколів вирішено завдяки вдосконаленню алгоритмів.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger і Ro Achterberg
Запис додано 15 жовтня 2024 р.
Додаткова подяка
AirDrop
Дякуємо за допомогу користувачу Linwz із DEVCORE.
Shortcuts
Дякуємо за допомогу анонімному досліднику.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.