نبذة حول محتوى أمان visionOS 1.2
يتناول هذا المستند محتوى الأمان لنظام التشغيل visionOS 1.2.
نبذة عن تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصِّي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة إصدارات أمان Apple.
عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.
visionOS 1.2
تاريخ الإصدار: 10 يونيو 2024
CoreMedia
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27817: pattern-f (@pattern_F_) من Ant Security Light-Year Lab
CoreMedia
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة ملف إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.
CVE-2024-27831: Amir Bazine وKarsten König من CrowdStrike Counter Adversary Operations
صور القرص
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27832: باحث غير معلوم الهوية
Foundation
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27801: فريق CertiK SkyFall Team
ImageIO
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27836: Junsung Lee بالتعاون مع Trend Micro Zero Day Initiative
IOSurface
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) من STAR Labs SG Pte. Ltd.
Kernel
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكن مهاجم تمكن في السابق من تنفيذ تعليمة برمجية في kernel من تجاوز عمليات حماية ذاكرة kernel
الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.
CVE-2024-27840: باحث غير معلوم الهوية
Kernel
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.
CVE-2024-27815: باحث غير معلوم الهوية وJoseph Ravichandran (@0xjprx) من MIT CSAIL
libiconv
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكن أحد التطبيقات من رفع الامتيازات
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27811: Nick Wellnhofer
Messages
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة رسالة متطفّلة إلى رفض الخدمة
الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.
CVE-2024-27800: Daniel Zajork وJoshua Zajork
Metal
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) بالتعاون مع Trend Micro Zero Day Initiative
Metal
متوفر لما يلي: Apple Vision Pro
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بالوصول غير المسموح به من خلال التحقق المحسّن من الحدود.
CVE-2024-27857: Michael DePlante (@izobashi) من Trend Micro Zero Day Initiative
Safari
متوفر لما يلي: Apple Vision Pro
التأثير: قد يستمر ظهور مربع حوار الأذونات لموقع الويب بعد الانتقال بعيدًا عن الموقع
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.
CVE-2024-27844: Narendra Bhati من Suma Soft Pvt. Ltd في بونا (الهند)، Shaheen Fazim
Transparency
متوفر لما يلي: Apple Vision Pro
التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة
الوصف: تمت معالجة هذه المشكلة عبر استحقاق جديد.
CVE-2024-27884: Mickey Jin (@patch1t)
تاريخ إضافة الإدخال: 29 يوليو 2024
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم
الوصف: تمت معالجة المشكلة عن طريق إضافة منطق إضافي.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos من Mozilla
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard من CISPA Helmholtz Center for Information Security
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة محتوى الويب إلى رفض الخدمة
الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال المعالجة المُحسَّنة للملفات.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
تم تحديث المشاركة بتاريخ 20 يونيو 2024
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم
الوصف: تمت معالجة هذه المشكلة من خلال إدخال تحسينات على خوارزمية إضافة الضوضاء.
WebKit Bugzilla: 270767
CVE-2024-27850: باحث غير معلوم الهوية
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المُحسَّن من صحة الإدخال.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) بالتعاون مع Trend Micro Zero Day Initiative
WebKit
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة من الحدود.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) من 360 Vulnerability Research Institute
WebKit Canvas
متوفر لما يلي: Apple Vision Pro
التأثير: قد تتمكن صفحة ويب متطفلة من إنشاء تمثيل فريد للمستخدم
الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المُحسَّنة للحالة.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) من Crawless and @abrahamjuliot
WebKit Web Inspector
متوفر لما يلي: Apple Vision Pro
التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson من underpassapp.com
تقدير آخر
ImageIO
يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.