Om sikkerhetsinnholdet i visionOS 1.2
Dette dokumentet beskriver sikkerhetsinnholdet i visionOS 1.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
visionOS 1.2
Utgitt 10. juni 2024
CoreMedia
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27817: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
CoreMedia
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27831: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
Disk Images
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27832: en anonym forsker
Foundation
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27836: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
IOSurface
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27840: en anonym forsker
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27815: en anonym forsker og Joseph Ravichandran (@0xjprx) fra MIT CSAIL
libiconv
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27811: Nick Wellnhofer
Messages
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-27800: Daniel Zajork og Joshua Zajork
Metal
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbeid med Trend Micro Zero Day Initiative
Metal
Tilgjengelig for: Apple Vision Pro
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2024-27857: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
Safari
Tilgjengelig for: Apple Vision Pro
Virkning: Et nettsteds tillatelsesdiaglogrute kan bli værende igjen etter at brukeren navigerer bort fra nettstedet.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27844: Narendra Bhati fra Suma Soft Pvt. Ltd in Pune (India), Shaheen Fazim
Transparency
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Dette problemet ble løst med en ny rettighet.
CVE-2024-27884: Mickey Jin (@patch1t)
Oppføring lagt til 29. juli 2024
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos of Mozilla
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard fra CISPA Helmholtz Center for Information Security
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Oppføring oppdatert 20. juni 2024
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst med forbedringer i støyinjiseringsalgoritmen.
WebKit Bugzilla: 270767
CVE-2024-27850: en anonym forsker
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute
WebKit Canvas
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) fra Crawless, og @abrahamjuliot
WebKit Web Inspector
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson fra underpassapp.com
Ytterligere anerkjennelser
ImageIO
Vi vil gjerne takke en anonym forsker for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.