Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
visionOS 1.1
Κυκλοφόρησε στις 7 Μαρτίου 2024
Accessibility
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να πλαστογραφήσει τις γνωστοποιήσεις συστήματος και τη διεπαφή χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους ελέγχους δικαιωμάτων.
CVE-2024-23262: Guilherme Rambo της Best Buddy Apps (rambo.codes)
ImageIO
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-23257: Junsung Lee σε συνεργασία με την Trend Micro Zero Day Initiative
ImageIO
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-23258: Zhenjiang Zhao της pangu team και Qianxin
ImageIO
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2024-23235
Kernel
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2024-23265: Xinru Chi του Pangu Lab
Kernel
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τα προστατευτικά μέτρα μνήμης πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2024-23225
Metal
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
Persona
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Ένας μη εξουσιοδοτημένος χρήστης ενδέχεται να μπορεί να χρησιμοποιήσει ένα μη προστατευμένο Persona
Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα σχετικά με τα δικαιώματα, για να διασφαλιστεί πως τα Persona είναι πάντα προστατευμένα
CVE-2024-23295: Patrick Reardon
RTKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τα προστατευτικά μέτρα μνήμης πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2024-23296
Safari
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να πάρει το δακτυλικό αποτύπωμα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2024-23220
UIKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2024-23246: Deutsche Telekom Security GmbH με τη χορηγία του Bundesamt für Sicherheit in der Informationstechnik
WebKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα ήχου μεταξύ προελεύσεων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Διατίθεται για: Apple Vision Pro
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber και Marco Squarcina
Επιπλέον αναγνώριση
Kernel
Θα θέλαμε να ευχαριστήσουμε τους Tarek Joumaa (@tjkr0wn) και 이준성(Junsung Lee) για τη βοήθειά τους.
Model I/O
Θα θέλαμε να ευχαριστήσουμε τον Junsung Lee για τη βοήθειά του.
Power Management
Θα θέλαμε να τον Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. Για τη βοήθειά του.
Safari
Θα θέλαμε να ευχαριστήσουμε τους Abhinav Saraswat, Matthew C και 이동하 ( Lee Dong Ha της ZeroPointer Lab ) για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina και Lorenzo Veronese της TU Wien για τη βοήθειά τους.