Mengenai konten keamanan visionOS 1.1

Dokumen ini menjelaskan konten keamanan visionOS 1.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

visionOS 1.1

Dirilis 7 Maret 2024

Accessibility

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakali pemberitahuan sistem dan UI

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan hak tambahan.

CVE-2024-23262: Guilherme Rambo dari Best Buddy Apps (rambo.codes)

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23257: Junsung Lee bekerja sama dengan Trend Micro Zero Day Initiative

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-23258: Zhenjiang Zhao dari pangu team dan Qianxin

ImageIO

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23286: Dohyun Lee (@l33d0hyun)

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2024-23235

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2024-23265: Xinru Chi dari Pangu Lab

Kernel

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang dengan kemampuan baca dan tulis kernel arbitrer mungkin dapat melewatkan perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2024-23225

Metal

Tersedia untuk: Apple Vision Pro

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm bekerja sama dengan Trend Micro Zero Day Initiative

Persona

Tersedia untuk: Apple Vision Pro

Dampak: Pengguna yang tidak diautentikasi mungkin dapat menggunakan Persona yang tidak dilindungi

Deskripsi: Masalah izin telah diatasi untuk membantu memastikan Persona selalu dilindungi

CVE-2024-23295: Patrick Reardon

RTKit

Tersedia untuk: Apple Vision Pro

Dampak: Penyerang dengan kemampuan baca dan tulis kernel arbitrer mungkin dapat melewatkan perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2024-23296

Safari

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat mengambil sidik jari pengguna

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2024-23220

UIKit

Tersedia untuk: Apple Vision Pro

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-23246: Deutsche Telekom Security GmbH disponsori oleh Bundesamt für Sicherheit in der Informationstechnik

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Situs web berbahaya dapat menarik data audio lintas sumber

Deskripsi: Masalah ini telah diatasi dengan penanganan UI yang ditingkatkan.

WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Tersedia untuk: Apple Vision Pro

Dampak: Memproses konten web berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber dan Marco Squarcina

 

Ucapan terima kasih tambahan

Kernel

Kami ingin mengucapkan terima kasih kepada Tarek Joumaa (@tjkr0wn) dan 이준성(Junsung Lee) atas bantuannya.

Model I/O

Kami ingin mengucapkan terima kasih kepada Junsung Lee atas bantuannya.

Power Management

Kami ingin mengucapkan terima kasih kepada Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd. atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada Abhinav Saraswat, Matthew C, dan 이동하 ( Lee Dong Ha dari ZeroPointer Lab ) atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina, dan Lorenzo Veronese dari TU Wien atas bantuannya.

 

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: