Informace o bezpečnostním obsahu visionOS 2.2
Tento dokument popisuje bezpečnostní obsah visionOS 2.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
visionOS 2.2
Vydáno 11. prosince 2024
APFS
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) a anonymní výzkumník
Záznam přidán 27. ledna 2025
Crash Reporter
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2024-54513: anonymní výzkumník
FontParser
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54486: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
ICU
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2024-54478: Gary Kwong
Záznam přidán 27. ledna 2025
ImageIO
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2024-54499: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 27. ledna 2025
ImageIO
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54500: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro
Kernel
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-44245: anonymní výzkumník
Kernel
K dispozici pro: Apple Vision Pro
Dopad: Útočníkovi se může podařit vytvořit namapování paměti jen pro čtení, do kterého se dá zapisovat.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2024-54494: sohybbyk
libexpat
K dispozici pro: Apple Vision Pro
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2024-45490
MobileBackup
K dispozici pro: Apple Vision Pro
Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.
Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (společné zjištění: Davis Dai, ORAC 落云, Frank Du)
Záznam přidán 17. března 2025
Passkeys
K dispozici pro: Apple Vision Pro
Dopad: Automatické vyplňování hesel může vyplnit hesla i po neúspěšném ověření.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) ze společnosti C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa
Záznam přidán 27. ledna 2025, aktualizován 17. března 2025
Passwords
K dispozici pro: Apple Vision Pro
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit změnit síťový provoz.
Popis: Tento problém byl vyřešen použitím protokolu HTTPS při odesílání informací přes síť.
CVE-2024-54492: Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. (@mysk_co)
QuartzCore
K dispozici pro: Apple Vision Pro
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54497: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 27. ledna 2025
SceneKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54501: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
Vim
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého souboru může vést k poškození haldy.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2024-45306
Záznam přidán 27. ledna 2025
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka z týmu Google Project Zero
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab, Xiangwei Zhang z týmu YUNDING LAB společnosti Tencent Security
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymní výzkumník
Záznam aktualizován 27. ledna 2025
Další poděkování
Bluetooth
Poděkování za pomoc zaslouží Sophie Winter.
Záznam přidán 17. března 2025
FaceTime Foundation
Poděkování za pomoc zaslouží Joshua Pellecchia.
Photos
Poděkování za pomoc zaslouží Chi Yuan Chang ze společnosti ZUSO ART a taikosoup.
Proximity
Poděkování za pomoc zaslouží Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity George Masona.
Safari Private Browsing
Poděkování za pomoc zaslouží Richard Hyunho Im (@richeeta) ze společnosti Route Zero Security.
Swift
Poděkování za pomoc zaslouží Marc Schoenefeld, Dr. rer. nat.
WebKit
Poděkování za pomoc zaslouží Hafiizh.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.