Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
visionOS 1.2
Objavljeno 10. lipnja 2024.
CoreMedia
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
CoreMedia
Dostupno za: Apple Vision Pro
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
Disk Images
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27832: anonimni istraživač
Foundation
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27836: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro)
IOSurface
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Kernel
Dostupno za: Apple Vision Pro
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27840: anonimni istraživač
Kernel
Dostupno za: Apple Vision Pro
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)
libiconv
Dostupno za: Apple Vision Pro
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27811: Nick Wellnhofer
Messages
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Metal
Dostupno za: Apple Vision Pro
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Metal
Dostupno za: Apple Vision Pro
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-27857: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Safari
Dostupno za: Apple Vision Pro
Učinak: dijaloški okvir s dopuštenjima za web-mjesto može se neprekidno prikazivati nakon odlaska sa stranice
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (Indija), Shaheen Fazim
WebKit
Dostupno za: Apple Vision Pro
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen dodavanje dodatne logike.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Unos ažuriran 20. lipnja 2024.
WebKit
Dostupno za: Apple Vision Pro
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: ovaj problem riješen je poboljšavanjem algoritma za uvod šuma.
WebKit Bugzilla: 270767
CVE-2024-27850: anonimni istraživač
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
WebKit
Dostupno za: Apple Vision Pro
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
WebKit Canvas
Dostupno za: Apple Vision Pro
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot
WebKit Web Inspector
Dostupno za: Apple Vision Pro
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Dodatna zahvala
ImageIO
Na pomoći zahvaljujemo anonimnom istraživaču.
Transparency
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).