Проблеми системи безпеки, які усунено в оновленні visionOS 2.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Проблеми системи безпеки, які усунено в оновленні visionOS 2.1

App Support

Цільові продукти: Apple Vision Pro

Вплив: шкідлива програма може виконувати довільні швидкі команди без згоди користувача.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню логіки.

CVE-2024-44255: анонімний дослідник

AppleAVD

Цільові продукти: Apple Vision Pro

Вплив: аналіз шкідливого відеофайлу може призводити до неочікуваного завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-44232: Ivan Fratric із Google Project Zero

CVE-2024-44233: Ivan Fratric із Google Project Zero

CVE-2024-44234: Ivan Fratric із Google Project Zero

CoreMedia Playback

Цільові продукти: Apple Vision Pro

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44240: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

Foundation

Цільові продукти: Apple Vision Pro

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2024-44282: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ImageIO

Цільові продукти: Apple Vision Pro

Вплив: обробка зображення може призводити до розкриття пам’яті процесів.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44215: Junsung Lee, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ImageIO

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого повідомлення може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-44297: Jex Amro

IOSurface

Цільові продукти: Apple Vision Pro

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2024-44285: анонімний дослідник

Kernel

Цільові продукти: Apple Vision Pro

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Цільові продукти: Apple Vision Pro

Вплив: користувач може переглядати конфіденційну інформацію про користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44262: Justin Saboo

Managed Configuration

Цільові продукти: Apple Vision Pro

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Цільові продукти: Apple Vision Pro

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Цільові продукти: Apple Vision Pro

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44277: анонімний дослідник і Yinyi Wu(@_3ndy1) із підрозділу Dawn Security Lab компанії JD.com, Inc.

Safari Downloads

Цільові продукти: Apple Vision Pro

Вплив: зловмисник може використовувати дозвіл про довіру для завантаження шкідливого вмісту.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44259: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Safari Private Browsing

Цільові продукти: Apple Vision Pro

Вплив: у режимі приватного перегляду може розкриватися частина конфіденційної історії переглядів.

Опис: витік інформації було усунено за допомогою додаткової перевірки.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Цільові продукти: Apple Vision Pro

Вплив: шкідлива програма може за допомогою швидких команд отримувати доступ до файлів з обмеженим доступом.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44269: анонімний дослідник

Siri

Цільові продукти: Apple Vision Pro

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Цільові продукти: Apple Vision Pro

Вплив: програма в ізольованому програмному середовищі може отримувати доступ до конфіденційних даних користувача в системних журналах.

Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Цільові продукти: Apple Vision Pro

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-44244: анонімний дослідник, Q1IQ (@q1iqF) і P1umer (@p1umer)

WebKit

Цільові продукти: Apple Vision Pro

Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44296: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Додаткова подяка

Calendar

Дякуємо за допомогу K宝(@Pwnrin).

ImageIO

Дякуємо за допомогу Amir Bazine і Karsten König із CrowdStrike Counter Adversary Operations, а також анонімному досліднику.

Messages

Дякуємо за допомогу Collin Potter і анонімному досліднику.

NetworkExtension

Дякуємо за допомогу Patrick Wardle із DoubleYou та команді Objective-See Foundation.

Photos

Дякуємо за допомогу користувачу James Robertson.

Safari Private Browsing

Дякуємо за допомогу анонімному досліднику, r00tdaddy.

Safari Tabs

Дякуємо за допомогу Jaydev Ahire.

Security

Дякуємо за допомогу Bing Shi, Wenchao Li та Xiaolong Bai з Alibaba Group.