Informacije o sigurnosnom sadržaju sustava visionOS 1.1.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 1.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 1.1

Objavljeno 7. ožujka 2024.

Accessibility

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-23258: Zhenjiang Zhao (pangu team), Qianxin i Amir Bazine te Karsten König (CrowdStrike Counter Adversary Operations)

Unos je ažuriran 31. svibnja 2024.

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

Unos je ažuriran 31. svibnja 2024.

Kernel

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

Metal

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

Persona

Dostupno za: Apple Vision Pro

Učinak: neautorizirani korisnik može koristiti nezaštićenu personu

Opis: riješen je problem s dozvolama kako bi se osiguralo da su persone uvijek zaštićene

CVE-2024-23295: Patrick Reardon

RTKit

Dostupno za: Apple Vision Pro

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Safari

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2024-23220

UIKit

Dostupno za: Apple Vision Pro

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber i Marco Squarcina

Dodatna zahvala

Kernel

Na pomoći zahvaljujemoTareku Joumaau (@tjkr0wn) i korisniku 이준성(Junsung Lee).

Model I/O

Na pomoći zahvaljujemo Junsungu Leeju.

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.

Safari

Na pomoći zahvaljujemo Abhinavu Saraswatu, Matthewu C i korisniku 이동하 (Lee Dong Ha of ZeroPointer Lab ).

WebKit

Na pomoći zahvaljujemo Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: