Проблеми системи безпеки, які усунено у visionOS 2.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 2.2
Дата випуску: 11 грудня 2024 р.
APFS
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) і анонімний дослідник
Запис додано 27 січня 2025 р.
Crash Reporter
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2024-54513: анонімний дослідник
FontParser
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
ICU
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-54478: Gary Kwong
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2024-54499: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-44245: анонімний дослідник
Kernel
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може створити відображення пам’яті лише для читання, у яке можна записувати дані.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2024-54494: sohybbyk
libexpat
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2024-45490
Passkeys
Цільові продукти: Apple Vision Pro
Вплив: функція автозаповнення паролів може заповнювати паролі після невдалої автентифікації.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) із C-DAC Thiruvananthapuram (Індія), Rakeshkumar Talaviya
Запис додано 27 січня 2025 р.
Passwords
Цільові продукти: Apple Vision Pro
Вплив: зловмисник із привілейованим положенням у мережі може змінювати мережевий трафік.
Опис: цю проблему вирішено завдяки використанню HTTPS під час надсилання інформації через мережу.
CVE-2024-54492: Talal Haj Bakry й Tommy Mysk із Mysk Inc. (@mysk_co)
QuartzCore
Цільові продукти: Apple Vision Pro
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
SceneKit
Цільові продукти: Apple Vision Pro
Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Vim
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-45306
Запис додано 27 січня 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka з Google Project Zero
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy із HKUS3Lab та chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong і анонімний дослідник
Запис оновлено 27 січня 2025 р.
Додаткова подяка
FaceTime Foundation
Дякуємо Joshua Pellecchia за допомогу.
Photos
Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.
Proximity
Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng університету George Mason.
Safari Private Browsing
Дякуємо за допомогу Richard Hyunho Im (@richeeta) із Route Zero Security.
Swift
Дякуємо за допомогу Marc Schoenefeld, др. природничих наук.
WebKit
Дякуємо Hafiizh за допомогу.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.