Informazioni sui contenuti di sicurezza di visionOS 1.3
In questo articolo vengono descritti i contenuti di sicurezza di visionOS 1.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
visionOS 1.3
Data di rilascio: 29 luglio 2024
AirDrop
Disponibile per: Apple Vision Pro
Impatto: a un file ricevuto da AirDrop potrebbe non essere applicato il contrassegno di quarantena.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-54564: Linwz di DEVCORE
Voce aggiunta il 20 marzo 2025
Apple Neural Engine
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27826: Ye Zhang (@VAR10CK) di Baidu Security e Minghao Lin
AppleAVD
Disponibile per: Apple Vision Pro
Impatto: un'app potrebbe causare l'arresto improvviso del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40799: D4m0n
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40806: Yisumi
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40777: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
ImageIO
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40784: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Gandalf4a
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP
Kernel
Disponibile per: Apple Vision Pro
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu della Zhejiang University
Presence
Disponibile per: Apple Vision Pro
Impatto: le digitazioni sulla tastiera virtuale possono essere dedotte da Persona
Descrizione: il problema è stato risolto interrompendo Persona quando la tastiera virtuale è attiva.
CVE-2024-40865: Hanqiu Wang della University of Florida, Zihao Zhan della Texas Tech University, Haoqi Shan di Certik, Siqi Dai della University of Florida, Max Panoff della University of Florida e Shuo Wang della University of Florida
Voce aggiunta il 5 settembre 2024
Shortcuts
Disponibile per: Apple Vision Pro
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40809: un ricercatore anonimo
CVE-2024-40812: un ricercatore anonimo
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 275117
CVE-2024-54551: ajajfxhj
Voce aggiunta il 20 marzo 2025
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin di Ant Group Light-Year Security Lab
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: il problema è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40789: Seunghyun Lee (@0x10n) di KAIST Hacking Lab in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Vision Pro
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Voce aggiunta il 15 ottobre 2024
WebKit
Disponibile per: Apple Vision Pro
Impatto: un utente potrebbe riuscire a bypassare alcune restrizioni sui contenuti web.
Descrizione: un problema nella gestione dei protocolli URL è stato risolto attraverso una migliore logica.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger e Ro Achterberg
Voce aggiunta il 15 ottobre 2024
Altri riconoscimenti
Shortcuts
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.