Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 1.1
Objavljeno 7. ožujka 2024.
Accessibility
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-23258: Zhenjiang Zhao iz tima laboratorija Pangu i Qianxin
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23235
Kernel
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple Vision Pro
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23225
Metal
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s timom projekta Zero Day Initiative tvrtke Trend Micro
Persona
Dostupno za: Apple Vision Pro
Učinak: neautorizirani korisnik može koristiti nezaštićenu personu
Opis: riješen je problem s dozvolama kako bi se osiguralo da su persone uvijek zaštićene
CVE-2024-23295: Patrick Reardon
RTKit
Dostupno za: Apple Vision Pro
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23296
Safari
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2024-23220
UIKit
Dostupno za: Apple Vision Pro
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Dostupno za: Apple Vision Pro
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Dodatna zahvala
Kernel
Na pomoći zahvaljujemo Tareku Joumaau (@tjkr0wn) i 이준성(Junsung Lee).
Model I/O
Na pomoći zahvaljujemo Junsungu Leeju.
Power Management
Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.
Safari
Na pomoći zahvaljujemo Abhinavu Saraswatu, Matthewu C i korisniku 이동하 (Lee Dong Ha of ZeroPointer Lab ).
WebKit
Na pomoći zahvaljujemo Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).