Проблеми системи безпеки, які усунено в оновленні visionOS 2.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 2.2
Дата випуску: 11 грудня 2024 р.
Crash Reporter
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2024-54513: анонімний дослідник
FontParser
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-44245: анонімний дослідник
Kernel
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може створити відображення в пам’ять лише для читання, у яку можна записувати.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2024-54494: sohybbyk
libexpat
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2024-45490
Passwords
Цільові продукти: Apple Vision Pro
Вплив: зловмисник із привілейованим положенням у мережі може змінювати мережевий трафік.
Опис: цю проблему вирішено завдяки використанню HTTPS під час надсилання інформації через мережу.
CVE-2024-54492: Talal Haj Bakry й Tommy Mysk із Mysk Inc. (@mysk_co)
SceneKit
Цільові продукти: Apple Vision Pro
Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka з Google Project Zero
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy з HKUS3Lab і chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
Додаткова подяка
FaceTime Foundation
Дякуємо за допомогу Joshua Pellecchia.
Photos
Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.
Proximity
Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng з Університету Джорджа Мейсона.
Safari Private Browsing
Дякуємо за допомогу Richard Hyunho Im (@richeeta) з Route Zero Security.
Swift
Дякуємо за допомогу Marc Schoenefeld, доктору природничих наук .
WebKit
Дякуємо за допомогу користувачу Hafiizh.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.