Informazioni sui contenuti di sicurezza di visionOS 1.3
In questo articolo vengono descritti i contenuti di sicurezza di visionOS 1.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
visionOS 1.3
Data di rilascio: 29 luglio 2024
Apple Neural Engine
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27826: Ye Zhang (@VAR10CK) di Baidu Security e Minghao Lin
AppleAVD
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40799: D4m0n
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40806: Yisumi
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40777: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40784: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Gandalf4a
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu della Zhejiang University
Presence
Disponibile per: Apple Vision Pro
Impatto: le digitazioni sulla tastiera virtuale possono essere dedotte da Persona
Descrizione: il problema è stato risolto interrompendo Persona quando la tastiera virtuale è attiva.
CVE-2024-40865: Hanqiu Wang della University of Florida, Zihao Zhan della Texas Tech University, Haoqi Shan di Certik, Siqi Dai della University of Florida, Max Panoff della University of Florida e Shuo Wang della University of Florida
Voce aggiunta il 5 settembre 2024
Shortcuts
Disponibile per: Apple Vision Pro
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40809: un ricercatore anonimo
CVE-2024-40812: un ricercatore anonimo
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin di Ant Group Light-Year Security Lab
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: il problema è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40789: Seunghyun Lee (@0x10n) di KAIST Hacking Lab in collaborazione con Zero Day Initiative di Trend Micro
Altri riconoscimenti
AirDrop
Ringraziamo Linwz di DEVCORE per l'assistenza.
Shortcuts
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.