Over de beveiligingsinhoud van visionOS 2

In dit document wordt de beveiligingsinhoud van visionOS 2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

visionOS 2

ARKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44126: Holger Fuhrmannek

APFS

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadaardige app met rootbevoegdheden kan mogelijk de inhoud van systeembestanden wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Beschikbaar voor: Apple Vision Pro

Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven om willekeurige bestanden te schrijven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27880: Junsung Lee

ImageIO

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker

IOSurfaceAccelerator

Beschikbaar voor: Apple Vision Pro

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44169: Antonio Zekić

Kernel

Beschikbaar voor: Apple Vision Pro

Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44165: Andrew Lytvynov

Kernel

Beschikbaar voor: Apple Vision Pro

Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

libxml2

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2024-44198: OSS-Fuzz, en Ned Williamson van Google Project Zero

mDNSResponder

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.

CVE-2024-44183: Olivier Levon

Model I/O

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is door derden toegewezen. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2023-5841

Notes

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-44167: ajajfxhj

Presence

Beschikbaar voor: Apple Vision Pro

Impact: een app kan mogelijk gevoelige gegevens uit het GPU-geheugen lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2024-40790: Max Thomas

SceneKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2024-44144: 냥냥

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-40857: Ron Masas

WebKit

Beschikbaar voor: Apple Vision Pro

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Aanvullende erkenning

Kernel

Met dank aan Braxton Anderson voor de hulp.

Maps

Met dank aan Kirin (@Pwnrin) voor de hulp.

Passwords

Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.

TCC

Met dank aan Vaibhav Prajapati voor de hulp.

WebKit

Met dank aan Avi Lumelsky van Oligo Security, Uri Katz van Oligo Security, Eli Grey (eligrey.com) en Johan Carlsson (joaxcar) voor de hulp.