מידע על תוכן האבטחה של visionOS 2.2
מסמך זה מתאר את תוכן האבטחה של visionOS 2.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
visionOS 2.2
הופץ ב-11 בדצמבר 2024
APFS
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) וחוקר אנונימי
הרשומה נוספה ב-27 בינואר 2025
Crash Reporter
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-54513: חוקר אנונימי
FontParser
זמין עבור: Apple Vision Pro
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54486: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ICU
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-54478: Gary Kwong
הרשומה נוספה ב-27 בינואר 2025
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2024-54499: אנונימי יחד עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-27 בינואר 2025
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54500: Junsung Lee יחד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44245: חוקר אנונימי
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להצליח ליצור מיפוי זיכרון לקריאה בלבד שניתן לכתיבה
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-54494: sohybbyk
libexpat
זמין עבור: Apple Vision Pro
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-45490
MobileBackup
זמין עבור: Apple Vision Pro
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (תגלית משותפת של Davis Dai, ORAC 落云, Frank Du)
הרשומה נוספה ב-17 במרץ 2025
Passkeys
זמין עבור: Apple Vision Pro
השפעה: מילוי אוטומטי של סיסמאות עלול למלא סיסמאות לאחר כישלון באימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa
הרשומה נוספה ב-27 בינואר 2025 ונערכה ב-17 במרץ 2025
Passwords
זמין עבור: Apple Vision Pro
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח לשנות תעבורה ברשת
תיאור: הבעיה טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת.
CVE-2024-54492: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. (@mysk_co)
QuartzCore
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54497: אנונימי יחד עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-27 בינואר 2025
SceneKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54501: Michael DePlante (@izobashi) מ-Zero Day Initiative של Trend Micro
Vim
זמין עבור: Apple Vision Pro
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-45306
הרשומה נוספה ב-27 בינואר 2025
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 278497
CVE-2024-54479: Junsung Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka מ-Google Project Zero
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab, Xiangwei Zhang מ-Tencent Security YUNDING LAB
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong וחוקר אנונימי
הרשומה עודכנה ב-27 בינואר 2025
הכרה נוספת
Bluetooth
אנחנו מבקשים להודות ל-Sophie Winter על הסיוע.
הרשומה נוספה ב-17 במרץ 2025
FaceTime Foundation
אנחנו מבקשים להודות ל-Joshua Pellecchia על הסיוע.
Photos
אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.
Proximity
אנחנו מבקשים להודות ל-Junming C. (@Chapoly1305) ול-Prof. Qiang Zeng מ-George Mason University על הסיוע.
Safari Private Browsing
אנחנו מבקשים להודות ל-Richard Hyunho Im (@richeeta) יחד עם Route Zero Security על הסיוע.
Swift
אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer. nat. על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Hafiizh על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.