Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
visionOS 1.1
Vydáno 7. března 2024
Accessibility
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit zfalšovat systémová oznámení a uživatelské rozhraní.
Popis: Problém byl vyřešen dodatečnými kontrolami nároků.
CVE-2024-23262: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)
ImageIO
K dispozici pro: Apple Vision Pro
Dopad: Zpracování obrázku může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-23257: Junsung Lee ve spolupráci s Trend Micro Zero Day Initiative
ImageIO
K dispozici pro: Apple Vision Pro
Dopad: Zpracování obrázku může vést ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2024-23258: Zhenjiang Zhao z týmu pangu a Qianxin
ImageIO
K dispozici pro: Apple Vision Pro
Dopad: Zpracování obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2024-23235
Kernel
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2024-23265: Xinru Chi z týmu Pangu Lab
Kernel
K dispozici pro: Apple Vision Pro
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst v jádře, se může podařit obejít ochranu paměti jádra. Apple má informace o tom, že tento problém mohl být zneužit.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2024-23225
Metal
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm ve spolupráci s Trend Micro Zero Day Initiative
Persona
K dispozici pro: Apple Vision Pro
Dopad: Neoprávněný uživatel může používat nechráněnou Personu
Popis: Byl vyřešen problém s oprávněními, který pomáhá zajistit, aby byly Persony vždy chráněny
CVE-2024-23295: Patrick Reardon
RTKit
K dispozici pro: Apple Vision Pro
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst v jádře, se může podařit obejít ochranu paměti jádra. Apple má informace o tom, že tento problém mohl být zneužit.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2024-23296
Safari
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2024-23220
UIKit
K dispozici pro: Apple Vision Pro
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2024-23246: Deutsche Telekom Security GmbH sponzorováno úřadem Bundesamt für Sicherheit in der Informationstechnik
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Škodlivý web může získat zvuková data napříč původy.
Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém v logice byl vyřešen vylepšením ověřování.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
K dispozici pro: Apple Vision Pro
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber a Marco Squarcina
Další poděkování
Kernel
Poděkování zaslouží Tarek Joumaa (@tjkr0wn) a 이준성 (Junsung Lee).
Model I/O
Poděkování za pomoc zaslouží Junsung Lee.
Power Management
Poděkování zaslouží Pan ZhenPeng (@Peterpan0927) z týmu STAR Labs SG Pte. Ltd.
Safari
Poděkování zaslouží Abhinav Saraswat, Matthew C a 이동하 (Lee Dong Ha z ZeroPointer Lab).
WebKit
Poděkování zaslouží Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina a Lorenzo Veronese z Technické univerzity Vídeň.