Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
visionOS 1.1
Releasedatum: 7 maart 2024
Accessibility
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk systeemmeldingen en de gebruikersinterface vervalsen
Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.
CVE-2024-23262: Guilherme Rambo van Best Buddy Apps (rambo.codes)
ImageIO
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-23257: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative
ImageIO
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-23258: Zhenjiang Zhao van pangu team en Qianxin
ImageIO
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2024-23235
Kernel
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen
Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.
CVE-2024-23265: Xinru Chi van Pangu Lab
Kernel
Beschikbaar voor: Apple Vision Pro
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten in de kernel kan mogelijk geheugenbeschermingen van de kernel omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2024-23225
Metal
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm in samenwerking met Trend Micro Zero Day Initiative
Persona
Beschikbaar voor: Apple Vision Pro
Impact: een niet-geautoriseerde gebruiker kan mogelijk onbeveiligde persoonlijke gegevens gebruiken
Beschrijving: er is een machtigingsprobleem verholpen om te zorgen dat persoonlijke gegevens altijd beveiligd zijn
CVE-2024-23295: Patrick Reardon
RTKit
Beschikbaar voor: Apple Vision Pro
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten in de kernel kan mogelijk geheugenbeschermingen van de kernel omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2024-23296
Safari
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2024-23220
UIKit
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-23246: Deutsche Telekom Security GmbH gesponsord door Bundesamt für Sicherheit in der Informationstechnik
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: een kwaadaardige website kan audiogegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van kwaadwillig vervaardigde webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van kwaadwillig vervaardigde webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber en Marco Squarcina
Aanvullende erkenning
Kernel
Met dank aan Tarek Joumaa (@tjkr0wn) en 이준성(Junsung Lee) voor de hulp.
Model I/O
Met dank aan Junsung Lee voor de hulp.
Power Management
Met dank aan Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd. voor de hulp.
Safari
Met dank aan Abhinav Saraswat, Matthew C en 이동하 (Lee Dong Ha van ZeroPointer Lab) voor de hulp.
WebKit
Met dank aan Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina en Lorenzo Veronese van TU Wien voor de hulp.