Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
visionOS 1.1
Utgitt 7. mars 2024
Accessibility
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan forfalske systemvarslinger og brukergrensesnitt
Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.
CVE-2024-23262: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
ImageIO
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23257: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
ImageIO
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-23258: Zhenjiang Zhao fra pangu team og Qianxin
ImageIO
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2024-23235
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2024-23265: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En angriper med kjernemuligheter for vilkårlig lesing og skriving kan klare å forbigå kjerneminnebeskyttelser. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23225
Metal
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
Persona
Tilgjengelig for: Apple Vision Pro
Virkning: En ikke-autentisert bruker kan være i stand til å bruke en ubeskyttet profil
Beskrivelse: Et problem med tilgang ble løst for å bidra til at profiler alltid er beskyttet
CVE-2024-23295: Patrick Reardon
RTKit
Tilgjengelig for: Apple Vision Pro
Virkning: En angriper med kjernemuligheter for vilkårlig lesing og skriving kan klare å forbigå kjerneminnebeskyttelser. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23296
Safari
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2024-23220
UIKit
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-23246: Deutsche Telekom Security GmbH sponset av Bundesamt für Sicherheit in der Informationstechnik
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan eksfiltrere lyddata på tvers av opphav
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber og Marco Squarcina
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Tarek Joumaa (@tjkr0wn) og 이준성(Junsung Lee) for hjelpen.
Model I/O
Vi vil gjerne takke Junsung Lee for hjelpen.
Power Management
Vi vil gjerne takke Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. for hjelpen.
Safari
Vi vil gjerne takke Abhinav Saraswat, Matthew C og 이동하 (Lee Dong Ha fra ZeroPointer Lab) for hjelpen.
WebKit
Vi vil gjerne takke Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien for hjelpen.