Mengenai konten keamanan visionOS 2

Dokumen ini menjelaskan konten keamanan visionOS 2.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 2

ARKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44126: Holger Fuhrmannek

APFS

Tersedia untuk: Apple Vision Pro

Dampak: App berbahaya yang memiliki hak akses root mungkin dapat mengubah konten file sistem

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Tersedia untuk: Apple Vision Pro

Dampak: Membongkar arsip perusak yang berbahaya dapat memungkinkan penyerang menulis file arbitrer

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah akses file telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-27880: Junsung Lee

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar mungkin mengakibatkan penolakan layanan

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44176: dw0r dari ZeroPointer Lab yang bekerja sama dengan Zero Day Initiative dari Trend Micro dan peneliti anonim

IOSurfaceAccelerator

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44169: Antonio Zekić

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: Lalu lintas jaringan dapat bocor di luar saluran VPN

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44165: Andrew Lytvynov

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: App dapat memperoleh akses tidak sah ke Bluetooth

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze), dan Mathy Vanhoef

libxml2

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2024-44198: OSS-Fuzz, Ned Williamson dari Google Project Zero

mDNSResponder

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Kesalahan logika telah diatasi dengan penanganan kesalahan yang lebih baik.

CVE-2024-44183: Olivier Levon

Model I/O

Tersedia untuk: Apple Vision Pro

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Ini adalah kerentanan dalam kode sumber terbuka dan Perangkat Lunak Apple termasuk dalam proyek yang terdampak. CVE-ID ditetapkan oleh pihak ketiga. Pelajari lebih lanjut masalah ini dan CVE-ID di cve.org.

CVE-2023-5841

Notes

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-44167: ajajfxhj

Presence

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat membaca data rahasia dari memori GPU

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2024-40790: Max Thomas

SceneKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2024-44144: 냥냥

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan skripting lintas situs universal

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-40857: Ron Masas

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Situs web berbahaya dapat menarik data lintas sumber

Deskripsi: Masalah lintas sumber muncul pada elemen “iframe”. Masalah ini telah diatasi dengan peningkatan pelacakan sumber keamanan.

CVE-2024-44187: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

Ucapan terima kasih tambahan

Kernel

Kami ingin mengucapkan terima kasih kepada Braxton Anderson atas bantuannya.

Maps

Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.

Passwords

Kami ingin mengucapkan terima kasih kepada Richard Hyunho Im (@r1cheeta) atas bantuannya.

TCC

Kami ingin mengucapkan terima kasih kepada Vaibhav Prajapati atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Avi Lumelsky dari Oligo Security, Uri Katz dari Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) atas bantuannya.