Informacije o sigurnosnom sadržaju sustava visionOS 2.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.1

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Informacije o sigurnosnom sadržaju sustava visionOS 2.1

App Support

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2024-44255: anonimni istraživač

AppleAVD

Dostupno za: Apple Vision Pro

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell iz laboratorija Loadshine Lab

CoreText

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Foundation

Dostupno za: Apple Vision Pro

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

IOSurface

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44285: anonimni istraživač

Kernel

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Lock Screen

Dostupno za: Apple Vision Pro

Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44262: Justin Saboo

Managed Configuration

Dostupno za: Apple Vision Pro

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupno za: Apple Vision Pro

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44277: anonimni istraživač i Yinyi Wu (@_3ndy1) iz laboratorija Dawn Security Lab tvrtke JD.com, Inc.

Safari Downloads

Dostupno za: Apple Vision Pro

Učinak: napadač bi mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44259: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Safari Private Browsing

Dostupno za: Apple Vision Pro

Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2024-44229: Lucas Di Tomase

Shortcuts

Dostupno za: Apple Vision Pro

Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44269: anonimni istraživač

Siri

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dostupno za: Apple Vision Pro

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44244: anonimni istraživač, Q1IQ (@q1iqF) i P1umer (@p1umer)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Dodatna zahvala

Calendar

Na pomoći zahvaljujemo korisniku K宝 (@Pwnrin).

ImageIO

Na pomoći zahvaljujemo Amiru Bazineu i Karstenu Königu (CrowdStrike Counter Adversary Operations) i anonimnom istraživaču.

Messages

Na pomoći zahvaljujemo Collinu Potteru i anonimnom istraživaču.

NetworkExtension

Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.

Foto

Na pomoći zahvaljujemo Jamesu Robertsonu.

Safari Private Browsing

Na pomoći zahvaljujemo anonimnom istraživaču r00tdaddy.

Safari Tabs

Zahvaljujemo Jaydevu Ahireu na pomoći.

Sigurnost

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).