Informacije o sigurnosnom sadržaju sustava visionOS 1.2.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava visionOS 1.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

visionOS 1.2

Objavljeno 10. lipnja 2024.

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

CoreMedia

Dostupno za: Apple Vision Pro

Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

Disk Images

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27832: anonimni istraživač

Foundation

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27801: CertiK SkyFall Team

ImageIO

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27836: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro)

IOSurface

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)

Kernel

Dostupno za: Apple Vision Pro

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-27840: anonimni istraživač

Kernel

Dostupno za: Apple Vision Pro

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)

libiconv

Dostupno za: Apple Vision Pro

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27811: Nick Wellnhofer

Messages

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-27800: Daniel Zajork i Joshua Zajork

Metal

Dostupno za: Apple Vision Pro

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

Metal

Dostupno za: Apple Vision Pro

Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-27857: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)

Safari

Dostupno za: Apple Vision Pro

Učinak: dijaloški okvir s dopuštenjima za web-mjesto može se neprekidno prikazivati nakon odlaska sa stranice

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (Indija), Shaheen Fazim

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem je riješen dodavanje dodatne logike.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-27812: Ryan Pickren (ryanpickren.com)

Unos ažuriran 20. lipnja 2024.

WebKit

Dostupno za: Apple Vision Pro

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: ovaj problem riješen je poboljšavanjem algoritma za uvod šuma.

WebKit Bugzilla: 270767
CVE-2024-27850: anonimni istraživač

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: Apple Vision Pro

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama ograničenja.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)

WebKit Canvas

Dostupno za: Apple Vision Pro

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot

WebKit Web Inspector

Dostupno za: Apple Vision Pro

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)

 

Dodatna zahvala

ImageIO

Na pomoći zahvaljujemo anonimnom istraživaču.

Transparency

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: