In diesem Dokument wird der Sicherheitsinhalt von visionOS 2 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
Veröffentlicht am 16. September 2024
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer Heapbeschädigung führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-44126: Holger Fuhrmannek
Eintrag am 28. Oktober 2024 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Eine schadhafte App mit Root-Rechten kann möglicherweise den Inhalt von Systemdateien ändern.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
Verfügbar für: Apple Vision Pro
Auswirkung: Durch Auspacken eines in böser Absicht erstellten Archivs kann ein Angreifer beliebige Dateien erzeugen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App in einer Sandbox kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-40855: Csaba Fitzl (@theevilbit) von Kandji
Eintrag am 3. März 2025 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-54469: Csaba Fitzl (@theevilbit) von Kandji
Eintrag am 3. März 2025 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Ein Dateizugriffsfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2024-27880: Junsung Lee
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2024-44176: dw0r von ZeroPointer Lab in Zusammenarbeit mit der Trend Micro Zero Day Initiative und ein anonymer Forscher
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2024-44169: Antonio Zekić
Verfügbar für: Apple Vision Pro
Auswirkungen: Netzwerkverkehr kann möglicherweise den VPN-Tunnel verlassen
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2024-44165: Andrew Lytvynov
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann möglicherweise unbefugt auf Bluetooth zugreifen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2024-44198: OSS-Fuzz, Ned Williamson von Google Project Zero
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.
Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.
CVE-2024-44183: Olivier Levon
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID finden sich unter cve.org.
CVE-2023-5841
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2024-44167: ajajfxhj
Verfügbar für: Apple Vision Pro
Auswirkung: Eine App kann möglicherweise sensible Daten aus dem GPU-Speicher lesen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2024-40790: Max Thomas
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2024-44144: 냥냥
Eintrag am 28. Oktober 2024 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.
Beschreibung: Ein Cookie-Verwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 287874
CVE-2024-54467: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)
Eintrag am 3. März 2025 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 268770
CVE-2024-44192: Tashita Software Security
Eintrag am 3. März 2025 hinzugefügt
Verfügbar für: Apple Vision Pro
Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
Verfügbar für: Apple Vision Pro
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.
Beschreibung: Bei „iFrame“-Elementen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Nachverfolgung der Sicherheitsursprünge behoben.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)
Wir möchten uns bei Braxton Anderson für die Unterstützung bedanken.
Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal, Dev dutta (manas.dutta.75) und Prateek Pawar (vakil sahab) für die Unterstützung bedanken.
Eintrag am 3. März 2025 hinzugefügt
Wir möchten uns bei Richard Hyunho Im (@r1cheeta) für die Unterstützung bedanken.
Wir möchten uns bei Junior Vergara für die Unterstützung bedanken.
Eintrag am 3. März 2025 hinzugefügt
Wir möchten uns bei Vaibhav Prajapati für die Unterstützung bedanken.
Wir möchten uns bei Avi Lumelsky von Oligo Security, Uri Katz von Oligo Security, Eli Grey (eligrey.com) und Johan Carlsson (joaxcar) für die Unterstützung bedanken.
Eintrag am 28. Oktober 2024 aktualisiert