Informacije o sigurnosnom sadržaju sustava visionOS 2.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.1
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 2.1
Izdano 28. listopada 2024.
App Support
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika
Opis: problem s obradom putova riješen je poboljšanom logikom.
CVE-2024-44255: anonimni istraživač
AppleAVD
Dostupno za: Apple Vision Pro
Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2024-44232: Ivan Fratric (Google Project Zero)
CVE-2024-44233: Ivan Fratric (Google Project Zero)
CVE-2024-44234: Ivan Fratric (Google Project Zero)
Unos je dodan 1. studenog 2024.
CoreMedia Playback
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell iz laboratorija Loadshine Lab
CoreText
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
Foundation
Dostupno za: Apple Vision Pro
Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2024-44297: Jex Amro
IOSurface
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2024-44285: anonimni istraživač
Kernel
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Lock Screen
Dostupno za: Apple Vision Pro
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-44262: Justin Saboo
Managed Configuration
Dostupno za: Apple Vision Pro
Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Dostupno za: Apple Vision Pro
Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44277: anonimni istraživač i Yinyi Wu (@_3ndy1) iz laboratorija Dawn Security Lab tvrtke JD.com, Inc.
Safari Downloads
Dostupno za: Apple Vision Pro
Učinak: napadač bi mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44259: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Safari Private Browsing
Dostupno za: Apple Vision Pro
Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima
Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.
CVE-2024-44229: Lucas Di Tomase
Shortcuts
Dostupno za: Apple Vision Pro
Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-44269: Kirin (@Pwnrin) i anonimni istraživač
Unos je ažuriran 11. prosinca 2024.
Siri
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Dostupno za: Apple Vision Pro
Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava
Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
Dostupno za: Apple Vision Pro
Učinak: kolačići iz jednog ishodišta mogli bi se poslati drugom ishodištu
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula (SecuRing) (wojciechregula.blog)
Unos dodan 11. prosinca 2024.
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 279780
CVE-2024-44244: anonimni istraživač, Q1IQ (@q1iqF) i P1umer (@p1umer)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Dodatna zahvala
Calendar
Na pomoći zahvaljujemo korisniku K宝 (@Pwnrin).
ImageIO
Na pomoći zahvaljujemo Amiru Bazineu i Karstenu Königu (CrowdStrike Counter Adversary Operations) i anonimnom istraživaču.
Messages
Na pomoći zahvaljujemo Collinu Potteru i anonimnom istraživaču.
NetworkExtension
Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.
Photos
Na pomoći zahvaljujemo Jamesu Robertsonu.
Safari Private Browsing
Zahvaljujemo na pomoći anonimnom istraživaču i Jacobu Comptonu.
Unos je ažuriran 11. prosinca 2024.
Safari Tabs
Zahvaljujemo Jaydevu Ahireu na pomoći.
Security
Zahvaljujemo na pomoći sljedećim osobama: Bing Shi, Wenchao Li i Xiaolong Bai (Alibaba Group) te Luyi Xing (Indiana University Bloomington).
Unos je ažuriran 11. prosinca 2024.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.