מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
visionOS 1.1
הופץ ב-7 במרץ 2024
Accessibility
זמין עבור: Apple Vision Pro
השפעה: אפליקציה עלולה להיות מסוגלת להפריע להתראות המערכת ולממשק המשתמש
תיאור: בעיה זו טופלה באמצעות בדיקות זכאות נוספות.
CVE-2024-23262: גילהרם רמבו מ-Best Buddy Apps (rambo.codes)
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23257: ג'ונסונג לי יחד עם Zero Day Initiative של Trend Micro
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-23258: ז'נג'יאנג זאו מ-Pangu Team ו-Qianxin
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23286: דויון לי (@l33d0hyun)
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-23235
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2024-23265: שינרו צ'י מ-Pangu Lab
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של הליבה עלול להצליח לעקוף הגנות על זיכרון הליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23225
Metal
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2024-23264: מייסם פירוזי @R00tkitSMM יחד עם Trend Micro Zero Day Initiative
Persona
זמין עבור: Apple Vision Pro
השפעה: ייתכן שלמשתמש לא מאומת תהיה אפשרות להשתמש בדמות אישית בלתי מוגנת
תיאור: בעיית הרשאות טופלה באופן שיעזור להבטיח שדמויות אישיות תמיד יהיו מוגנות
CVE-2024-23295: פטריק רירדון
RTKit
זמין עבור: Apple Vision Pro
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של הליבה עלול להצליח לעקוף הגנות על זיכרון הליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23296
Safari
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2024-23220
UIKit
זמין עבור: Apple Vision Pro
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-23246: Deutsche Telekom Security GmbH בחסות Bundesamt für Sicherheit in der Informationstechnik
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
זמין עבור: Apple Vision Pro
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתוני שמע
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 263795
CVE-2024-23254: ג'יימס לי (@Windowsrcer)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
WebKit Bugzilla: 264811
CVE-2024-23263: ג'והאן קרלסון (joaxcar)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 267241
CVE-2024-23284: גאורג פלבר ומרקו סקוורצ'ינה
תודות נוספות
Kernel
אנחנו מבקשים להודות לטארק ג'ומה (@tjkr0wn) ול-이준성 (ג'אנסנג לי) על הסיוע.
Model I/O
אנחנו מבקשים להודות לג'אנסנג לי על הסיוע.
Power Management
אנחנו מבקשים להודות לפאן זנפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd. על הסיוע.
Safari
אנחנו מבקשים להודות לאבהינאב סרסוואט, למת'יו סי ול-이동하 (לי דונג אה מ-ZeroPointer Lab) על הסיוע.
WebKit
אנחנו מבקשים להודות לוולנטינו דאלה ואלה, לפדרו ברנרדו, למרקו סרוורצ'ינה וללורנזו ורוניס מ-TU Wien על הסיוע.