Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
visionOS 1.1
2024 年 3 月 7 日リリース
Accessibility
対象:Apple Vision Pro
影響:アプリがシステムの通知や UI を偽装できる可能性がある。
説明:この問題は、追加のエンタイトルメントチェックを設けることで解決されました。
CVE-2024-23262:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)
ImageIO
対象:Apple Vision Pro
影響:画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-23257:Trend Micro Zero Day Initiative に協力する Junsung Lee 氏
ImageIO
対象:Apple Vision Pro
影響:画像を処理すると、任意のコードが実行される可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2024-23258:Qianxin の pangu team の Zhenjiang Zhao 氏
ImageIO
対象:Apple Vision Pro
影響:画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
CVE-2024-23286:Dohyun Lee 氏 (@l33d0hyun)
Kernel
対象:Apple Vision Pro
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-23235
Kernel
対象:Apple Vision Pro
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23265:Pangu Lab の Xinru Chi 氏
Kernel
対象:Apple Vision Pro
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23225
Metal
対象:Apple Vision Pro
影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。
説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。
CVE-2024-23264:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm)
Persona
対象:Apple Vision Pro
影響:認証されていないユーザが、保護されていないペルソナを使用できる可能性がある。
説明:ペルソナが確実に常時保護されるように、アクセス権の問題に対処しました。
CVE-2024-23295:Patrick Reardon 氏
RTKit
対象:Apple Vision Pro
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23296
Safari
対象:Apple Vision Pro
影響:アプリがユーザの指紋を採ることができる場合がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2024-23220
UIKit
対象:Apple Vision Pro
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-23246:Deutsche Telekom Security GmbH (Bundesamt für Sicherheit in der Informationstechnik 出資)
WebKit
対象:Apple Vision Pro
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:259694
CVE-2024-23226:Pwn2car
WebKit
対象:Apple Vision Pro
影響:悪意のある Web サイトに、オーディオデータをクロスオリジンで取得される可能性がある。
説明:UI の処理を改善することで、この問題を解決しました。
WebKit Bugzilla:263795
CVE-2024-23254:James Lee 氏 (@Windowsrcer)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:検証を強化し、ロジックの脆弱性に対処しました。
WebKit Bugzilla:264811
CVE-2024-23263:Johan Carlsson 氏 (joaxcar)
WebKit
対象:Apple Vision Pro
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
WebKit Bugzilla:267241
CVE-2024-23284:Georg Felber 氏および Marco Squarcina 氏
ご協力いただいたその他の方々
Kernel
Tarek Joumaa (@tjkr0wn) 氏および 이준성 (Junsung Lee) 氏のご協力に感謝いたします。
Model I/O
Junsung Lee 氏のご協力に感謝いたします。
Power Management
STAR Labs SG Pte. Ltd. の Pan ZhenPeng (@Peterpan0927) 氏のご協力に感謝いたします。
Safari
Abhinav Saraswat 氏、Matthew C 氏、이동하 (ZeroPointer Lab の Lee Dong Ha) 氏のご協力に感謝いたします。
WebKit
Valentino Dalla Valle 氏、Pedro Bernardo 氏、Marco Squarcina 氏、TU Wien の Lorenzo Veronese 氏のご協力に感謝いたします。