نبذة حول محتوى أمان visionOS 1.2

يتناول هذا المستند محتوى الأمان لنظام التشغيل visionOS 1.2.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصِّي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة إصدارات أمان Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

visionOS 1.2

تاريخ الإصدار: 10 يونيو 2024

CoreMedia

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27817:‏ pattern-f ‏(@pattern_F_) من Ant Security Light-Year Lab

CoreMedia

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة ملف إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.

CVE-2024-27831: ‏Amir Bazine وKarsten König من CrowdStrike Counter Adversary Operations

صور القرص

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27832: باحث غير معلوم الهوية

Foundation

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27801: فريق CertiK SkyFall Team

ImageIO

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27836: ‏Junsung Lee بالتعاون مع Trend Micro Zero Day Initiative

IOSurface‏

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2024-27828: ‏Pan ZhenPeng ‏(@Peterpan0927) من STAR Labs SG Pte. Ltd.

Kernel

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكن مهاجم تمكن في السابق من تنفيذ تعليمة برمجية في kernel من تجاوز عمليات حماية ذاكرة kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2024-27840: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.

CVE-2024-27815: باحث غير معلوم الهوية وJoseph Ravichandran ‏(@0xjprx) من MIT CSAIL

libiconv

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27811: ‏Nick Wellnhofer

Messages

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة رسالة متطفّلة إلى رفض الخدمة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2024-27800: ‏Daniel Zajork وJoshua Zajork

Metal

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2024-27802: ‏Meysam Firouzi ‏(@R00tkitsmm) بالتعاون مع Trend Micro Zero Day Initiative

Metal

متوفر لما يلي: Apple Vision Pro

التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالوصول غير المسموح به من خلال التحقق المحسّن من الحدود.

CVE-2024-27857: ‏Michael DePlante ‏(@izobashi) من Trend Micro Zero Day Initiative

Safari

متوفر لما يلي: Apple Vision Pro

التأثير: قد يستمر ظهور مربع حوار الأذونات لموقع الويب بعد الانتقال بعيدًا عن الموقع

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-27844: ‏Narendra Bhati من Suma Soft Pvt. Ltd في بونا (الهند)، Shaheen Fazim

Transparency

متوفر لما يلي: Apple Vision Pro

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة هذه المشكلة عبر استحقاق جديد.

CVE-2024-27884: Mickey Jin (@patch1t)

تاريخ إضافة الإدخال: 29 يوليو 2024

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم

الوصف: تمت معالجة المشكلة عن طريق إضافة منطق إضافي.

WebKit Bugzilla: ‏262337

CVE-2024-27838: ‏Emilio Cobos من Mozilla

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

WebKit Bugzilla: ‏268221

CVE-2024-27808: ‏Lukas Bernhard من CISPA Helmholtz Center for Information Security

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة محتوى الويب إلى رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال المعالجة المُحسَّنة للملفات.

CVE-2024-27812: ‏Ryan Pickren‏ (ryanpickren.com)

تم تحديث المشاركة بتاريخ 20 يونيو 2024

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم

الوصف: تمت معالجة هذه المشكلة من خلال إدخال تحسينات على خوارزمية إضافة الضوضاء.

WebKit Bugzilla: ‏270767

CVE-2024-27850: باحث غير معلوم الهوية

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المُحسَّن من صحة الإدخال.

WebKit Bugzilla: ‏271491

CVE-2024-27833: ‏Manfred Paul ‏(@_manfp) بالتعاون مع Trend Micro Zero Day Initiative

WebKit

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة من الحدود.

WebKit Bugzilla: ‏272106

CVE-2024-27851: ‏Nan Wang ‏(@eternalsakura13) من 360 Vulnerability Research Institute

WebKit Canvas

متوفر لما يلي: Apple Vision Pro

التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المُحسَّنة للحالة.

WebKit Bugzilla: ‏271159

CVE-2024-27830: ‏Joe Rutkowski ‏(@Joe12387) من Crawless and @abrahamjuliot

WebKit Web Inspector

متوفر لما يلي: Apple Vision Pro

التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

WebKit Bugzilla: ‏270139

CVE-2024-27820: ‏Jeff Johnson من underpassapp.com

تقدير آخر

ImageIO

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: