Informacije o sigurnosnom sadržaju sustava visionOS 2.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 2.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 2.2

Crash Reporter

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-54513: anonimni istraživač

FontParser

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54500: Junsung Lee u suradnji s inicijativom Zero Day (Trend Micro)

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44245: anonimni istraživač

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadač može izraditi mapiranje memorije samo za čitanje u koju se može zapisivati

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-54494: sohybbyk

libexpat

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45490

Passwords

Dostupno za: Apple Vision Pro

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk (Mysk Inc.)

SceneKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54501: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-54508: linjy of HKUS3Lab i chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do oštećenja memorije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54505: Gary Kwong

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja može doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-54534: Tashita Software Security

Dodatna zahvala

FaceTime Foundation

Zahvaljujemo Joshui Pellecchiju na pomoći.

Photos

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Proximity

Zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (sveučilište George Mason University) na pomoći.

Safari Private Browsing

Zahvaljujemo Richardu Hyunhou Imu (@richeeta) (Route Zero Security) na pomoći.

Swift

Zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.

WebKit

Zahvaljujemo Hafiizhu na pomoći.