Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
visionOS 1.2
Utgitt 10. juni 2024
CoreMedia
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27817: pattern-f (@pattern_F_) hos Ant Security Light-Year Lab
CoreMedia
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27831: Amir Bazine og Karsten König hos CrowdStrike Counter Adversary Operations
Disk Images
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27832: en anonym forsker
Foundation
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27836: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
IOSurface
Tilgjengelig for: Apple Vision Pro
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) hos STAR Labs SG Pte. Ltd.
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27840: en anonym forsker
Kernel
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27815: en anonym forsker og Joseph Ravichandran (@0xjprx) hos MIT CSAIL
libiconv
Tilgjengelig for: Apple Vision Pro
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27811: Nick Wellnhofer
Messages
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-27800: Daniel Zajork og Joshua Zajork
Metal
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbeid med Trend Micro Zero Day Initiative
Metal
Tilgjengelig for: Apple Vision Pro
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2024-27857: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative
Safari
Tilgjengelig for: Apple Vision Pro
Virkning: Et nettsteds tillatelsesdiaglogrute kan bli værende igjen etter at brukeren navigerer bort fra nettstedet.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27844: Narendra Bhati hos Suma Soft Pvt. Ltd in Pune (India), Shaheen Fazim
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos of Mozilla
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard hos CISPA Helmholtz Center for Information Security
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Oppføring oppdatert 20. juni 2024
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst med forbedringer i støyinjiseringsalgoritmen.
WebKit Bugzilla: 270767
CVE-2024-27850: en anonym forsker
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) hos 360 Vulnerability Research Institute
WebKit Canvas
Tilgjengelig for: Apple Vision Pro
Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) hos Crawless, og @abrahamjuliot
WebKit Web Inspector
Tilgjengelig for: Apple Vision Pro
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson hos underpassapp.com
Ytterligere anerkjennelser
ImageIO
Vi vil gjerne takke en anonym forsker for hjelpen.
Transparency
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.