Zawartość związana z zabezpieczeniami w systemie visionOS 2.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie visionOS 2.2.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
visionOS 2.2
Wydano 11 grudnia 2024 r.
APFS
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimowy badacz
Wpis dodano 27 stycznia 2025 r.
Crash Reporter
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-54513: anonimowy badacz
FontParser
Dostępne dla: Apple Vision Pro
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54486: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
ICU
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-54478: Gary Kwong
Wpis dodano 27 stycznia 2025 r.
ImageIO
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2024-54499: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 27 stycznia 2025 r.
ImageIO
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54500: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro
Kernel
Dostępne dla: Apple Vision Pro
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-44245: anonimowy badacz
Kernel
Dostępne dla: Apple Vision Pro
Zagrożenie: osoba atakująca może utworzyć mapowanie pamięci tylko do odczytu, do którego można zapisać dane.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2024-54494: sohybbyk
libexpat
Dostępne dla: Apple Vision Pro
Zagrożenie: atakujący zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.
CVE-2024-45490
MobileBackup
Dostępne dla: Apple Vision Pro
Zagrożenie: odtworzenie złośliwie spreparowanego pliku backupu może doprowadzić do modyfikacji chronionych plików systemowych.
Opis: naprawiono błąd logiczny przez poprawienie procedury obsługi plików.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (wspólne odkrycie: Davis Dai, ORAC 落云, Frank Du)
Wpis dodano 17 marca 2025 r.
Passkeys
Dostępne dla: Apple Vision Pro
Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) from C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa
Wpis dodano 27 września 2025 r., uaktualniono 17 marca 2025 r.
Passwords
Dostępne dla: Apple Vision Pro
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie zmodyfikować ruch sieciowy.
Opis: ten problem naprawiono przez wprowadzenie wysyłania informacji przez sieć za pomocą protokołu HTTPS.
CVE-2024-54492: Talal Haj Bakry i Tommy Mysk z Mysk Inc. (@mysk_co)
QuartzCore
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54497: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 27 stycznia 2025 r.
SceneKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54501: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Vim
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.
CVE-2024-45306
Wpis dodano 27 stycznia 2025 r.
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka z Google Project Zero
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy z HKUS3Lab and chluo z WHUSecLab, Xiangwei Zhang z Tencent Security YUNDING LAB
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Dostępne dla: Apple Vision Pro
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong i anonimowy badacz
Wpis uaktualniono 27 stycznia 2025 r.
Dodatkowe podziękowania
Bluetooth
Dziękujemy za udzieloną pomoc: Sophie Winter.
Wpis dodano 17 marca 2025 r.
FaceTime Foundation
Dziękujemy za udzieloną pomoc: Joshua Pellecchia.
Photos
Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup.
Proximity
Dziękujemy za udzieloną pomoc: Junming C. (@Chapoly1305) i Prof. Qiang Zeng z George Mason University.
Safari Private Browsing
Dziękujemy za udzieloną pomoc: Richard Hyunho Im (@richeeta) z Route Zero Security.
Swift
Dziękujemy za udzieloną pomoc: Marc Schoenefeld, Dr. rer. nat.
WebKit
Dziękujemy za udzieloną pomoc: Hafiizh.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.