關於 visionOS  2.2 的安全性內容

本文說明 visionOS 2.2 的安全性內容。

關於 Apple 安全性更新

為保障客戶的安全,Apple 在進行調查並提供修補程式或版本之前,不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性發佈」頁面上。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

如需安全性的詳細資訊,請參閱「Apple 產品安全性」頁面。

visionOS 2.2

2024 年 12 月 11 日發行

Crash Reporter

適用於:Apple Vision Pro

影響:App 或許可以存取敏感的使用者資料

說明:增加限制機制後,已解決權限問題。

CVE-2024-54513:匿名研究員

FontParser

適用於:Apple Vision Pro

影響:處理惡意製作的字體可能導致程序記憶體內容洩漏

說明:改進檢查機制後,已解決此問題。

CVE-2024-54486:Trend Micro Zero Day Initiative 的 Hossein Lotfi(@hosselot)

ImageIO

適用於:Apple Vision Pro

影響:處理惡意製作的影像可能導致程序記憶體外洩

說明:改進檢查機制後,已解決此問題。

CVE-2024-54500:Junsung Lee(與 Trend Micro Zero Day Initiative 合作)

Kernel

適用於:Apple Vision Pro

影響:App 或許可以導致系統意外終止或核心記憶體損毀

說明:改進記憶體處理機制後,已解決此問題。

CVE-2024-44245:匿名研究員

Kernel

適用於:Apple Vision Pro

影響:攻擊者或許可以建立可以寫入的唯讀記憶體對應

說明:增加驗證機制後,已解決競爭條件問題。

CVE-2024-54494:sohybbyk

libexpat

適用於:Apple Vision Pro

影響:遠端攻擊者可能導致 App 意外終止或執行任何程式碼

說明:這是開放原始碼的漏洞,而 Apple 軟體是受影響的專案之一。CVE-ID 是由第三方指派。請前往 cve.org,進一步了解此問題與 CVE-ID。

CVE-2024-45490

Passwords

適用於:Apple Vision Pro

影響:具有網路特殊權限的攻擊者可能得以竄改網路流量

說明:使用 HTTPS 在網路上傳送資訊後,已解決此問題。

CVE-2024-54492:Mysk Inc.(@mysk_co)的 Talal Haj Bakry 和 Tommy Mysk

SceneKit

適用於:Apple Vision Pro

影響:處理惡意製作的檔案可能導致阻斷服務

說明:改進檢查機制後,已解決此問題。

CVE-2024-54501:Trend Micro Zero Day Initiative 的 Michael DePlante(@izobashi)

WebKit

適用於:Apple Vision Pro

影響:處理惡意製作的網頁內容可能導致程序意外當機

說明:改進檢查機制後,已解決此問題。

WebKit Bugzilla:278497

CVE-2024-54479:Seunghyun Lee

WebKit Bugzilla:281912

CVE-2024-54502:Google Project Zero 的 Brendon Tiszka

WebKit

適用於:Apple Vision Pro

影響:處理惡意製作的網頁內容可能導致程序意外當機

說明:改進記憶體處理機制後,已解決此問題。

WebKit Bugzilla:282180

CVE-2024-54508:HKUS3Lab 的 linjy、WHUSecLab 的 chluo,以及 Tencent Security YUNDING LAB 的 Xiangwei Zhang

WebKit

適用於:Apple Vision Pro

影響:處理惡意製作的網頁內容可能導致記憶體損毀

說明:改進記憶體處理機制後,已解決類型混淆問題。

WebKit Bugzilla:282661

CVE-2024-54505:Gary Kwong

WebKit

適用於:Apple Vision Pro

影響:處理惡意製作的網頁內容可能導致記憶體損毀

說明:改進記憶體處理機制後,已解決此問題。

WebKit Bugzilla:277967

CVE-2024-54534:Tashita Software Security

特別鳴謝

FaceTime Foundation

我們要感謝 Joshua Pellecchia 提供協助。

Photos

我們要感謝 ZUSO ART 的 Chi Yuan Chang 和 taikosoup 提供協助。

Proximity

我們要感謝 Junming C.(@Chapoly1305)和 George Mason University 的 Prof. Qiang Zeng 提供協助。

Safari Private Browsing

我們要感謝 Richard Hyunho Im(@cheeta)(與 Route Zero Security 合作)提供協助。

Swift

我們要感謝 Marc Schoenefeld, Dr. rer. nat. 提供協助。

WebKit

我們要感謝 Hafiizh 提供協助。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: