Despre conținutul de securitate din visionOS 1.3
Acest document descrie conținutul de securitate din visionOS 1.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
visionOS 1.3
Publicat pe 29 iulie 2024
Apple Neural Engine
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27826: Minghao Lin și Ye Zhang (@VAR10CK) din cadrul Baidu Security
AppleAVD
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
CoreGraphics
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40799: D4m0n
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40806: Yisumi
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40777: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative, și Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2024-40784: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative și Gandalf4a
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator local ar putea să determine aspectul memoriei kernel
Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca un atacator aflat pe o poziție privilegiată în rețea să poată falsifica pachete de rețea
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2024-27823: Prof. Benny Pinkas din cadrul Universității Bar-Ilan, Prof. Amit Klein din cadrul Universității Ebraice și EP
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang
Presence
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca Persona să deducă intrările pe tastatura virtuală
Descriere: problema a fost remediată prin suspendarea Persona în momentul în care tastatura virtuală este activă.
CVE-2024-40865: Hanqiu Wang din cadrul Universității din Florida, Zihao Zhan din cadrul Texas Tech University, Haoqi Shan din cadrul Certik, Siqi Dai din cadrul Universității din Florida, Max Panoff din cadrul Universității din Florida și Shuo Wang din cadrul Universității din Florida
Intrare adăugată pe 5 septembrie 2024
Shortcuts
Disponibilitate pentru: Apple Vision Pro
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40809: un cercetător anonim
CVE-2024-40812: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40789: Seunghyun Lee (@0x10n) din cadrul KAIST Hacking Lab, în colaborare cu Trend Micro Zero Day Initiative
Alte mențiuni
AirDrop
Dorim să îi mulțumim lui Linwz din cadrul DEVCORE pentru asistența acordată.
Shortcuts
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.