Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
visionOS 1.1
Kiadás dátuma: 2024. március 7.
Accessibility
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások meg tudták hamisítani a rendszerértesítéseket és a felhasználói felületet
Leírás: További jogosultságellenőrzésekkel hárítottuk el a problémát.
CVE-2024-23262: Guilherme Rambo (rambo.codes), Best Buddy Apps
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23257: Junsung Lee, a Trend Micro Zero Day Initiative közreműködőjeként
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-23258: Zhenjiang Zhao, pangu team és Qianxin
ImageIO
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-23235
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2024-23265: Xinru Chi, Pangu Lab
Kernel
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23225
Metal
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként
Persona
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egy nem hitelesített felhasználó képes lehet egy nem védett Persona használatára
Leírás: Elhárítottunk egy jogosultsági problémát, hogy a Personák mindig védettek legyenek
CVE-2024-23295: Patrick Reardon
RTKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23296
Safari
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2024-23220
UIKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23246: Deutsche Telekom Security GmbH, a Bundesamt für Sicherheit in der Informationstechnik szponzorálásával
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
A következőhöz érhető el: Apple Vision Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber és Marco Squarcina
További köszönetnyilvánítás
Kernel
Köszönjük Tarek Joumaa (@tjkr0wn) és 이준성(Junsung Lee) segítségét.
Model I/O
Köszönjük Junsung Lee segítségét.
Power Management
Köszönjük Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) segítségét.
Safari
Köszönjük Abhinav Saraswat, Matthew C és 이동하 ( Lee Dong Ha, ZeroPointer Lab ) segítségét.
WebKit
Köszönjük Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina és Lorenzo Veronese (TU Wien) segítségét.