אודות על תוכן האבטחה של visionOS 1.3
המסמך מתאר את תוכן האבטחה של visionOS 1.3.
אודות עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. גרסאות עדכניות מופיעות בדף גרסאות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
visionOS 1.3
הופצה ב-29 ביולי 2024
Apple Neural Engine
זמין עבור: Apple Vision Pro
השפעה: תוקף מקומי עשוי לגרום לכיבוי בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות טיפול עם זיכרון משופר.
CVE-2024-27826: Ye Zhang (@VAR10CK) מ-Baidu Security ו-Minghao Lin
AppleAVD
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול עם זיכרון משופר.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2024-40799: D4m0n
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2024-40806: Yisumi
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית גישה מחוץ לתחום טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-40777: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative, ו-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: גלישת מספרים שלמים טופלה באמצעות אימות קלט משופר.
CVE-2024-40784: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative ו-Gandalf4a
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף מקומי עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-27863: CertiK SkyFall Team
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת
תיאור: מצב 'מירוץ' טופל באמצעות נעילה משופרת.
CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-40788: Minghao Lin ו-Jiaxun Zhu מאוניברסיטת ג'ג'יאנג
Presence
זמין עבור: Apple Vision Pro
השפעה: קלטים למקלדת הווירטואלית עשויים להתקבל מ-Persona
תיאור: הבעיה טופלה בהשהיה של Persona כשהמקלדת הווירטואלית פעילה.
CVE-2024-40865: Hanqiu Wang מאוניברסיטת פלורידה, Zihao Zhan מאוניברסיטת טקסס טק, Haoqi Shan מ-Certik, Siqi Dai מאוניברסיטת פלורידה, Max Panoff מאוניברסיטת פלורידה, ו-Shuo Wang מאוניברסיטת פלורידה
ההזנה נוספה ב-5 בספטמבר 2024
קיצורים
זמין עבור: Apple Vision Pro
השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-40809: חוקר אנונימי
CVE-2024-40812: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש לאחר הפצה טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-40789: Seunghyun Lee (@0x10n) מ-KAIST Hacking Lab בעבודה עם Trend Micro Zero Day Initiative
הכרה נוספת
AirDrop
אנחנו מבקשים להודות ל-Linwz מ-DEVCORE על הסיוע.
קיצורים
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.