Tietoja visionOS 2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan visionOS 2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
visionOS 2
Julkaistu 16.9.2024
APFS
Saatavuus: Apple Vision Pro
Vaikutus: haitallinen appi, jolla on pääkäyttöoikeudet, saattoi pystyä muokkaamaan järjestelmätiedostojen sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
Compression
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen arkistotiedoston purkaminen saattoi sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Game Center
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tiedostojen käyttöön liittyvä ongelma on korjattu parantamalla syötteen tarkistusta.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-27880: Junsung Lee
ImageIO
Saatavuus: Apple Vision Pro
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-44176: dw0r (ZeroPointer Lab) yhteistyössä Trend Micro Zero Day Initiativen kanssa sekä nimetön tutkija
IOSurfaceAccelerator
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44169: Antonio Zekić
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: verkkoliikenne saattoi vuotaa VPN-tunnelin ulkopuolelle.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44165: Andrew Lytvynov
Kernel
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef
libxml2
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: kokonaisluvun ylivuoto ratkaistiin parantamalla syötteen validointia.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkaongelma on korjattu parantamalla virheiden käsittelyä.
CVE-2024-44183: Olivier Levon
Model I/O
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2023-5841
Notes
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-44167: ajajfxhj
Presence
Saatavuus: Apple Vision Pro
Vaikutus: appi saattoi pystyä lukemaan arkaluonteisia tietoja näytönohjaimen muistista.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2024-40790: Max Thomas
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa yleiseen sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Saatavuus: Apple Vision Pro
Vaikutus: haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)
Kiitokset
Kernel
Haluamme kiittää Braxton Andersonia hänen antamastaan avusta.
Maps
Haluamme kiittää avusta Kiriniä (@Pwnrin).
Passwords
Haluamme kiittää Richard Hyunho Imiä (@r1cheeta) hänen antamastaan avusta.
TCC
Haluamme kiittää Vaibhav Prajapatia hänen antamastaan avusta.
WebKit
Haluamme kiittää Avi Lumelskyä, Uri Katzia (Oligo Security) ja Johan Carlssonia (joaxcar) heidän antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.