Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
visionOS 1.2
Lansare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
CoreMedia
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations
Disk Images
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27832: un cercetător anonim
Foundation
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27836: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative
IOSurface
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27840: un cercetător anonim
Kernel
Disponibilitate pentru: Apple Vision Pro
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL
libiconv
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27811: Nick Wellnhofer
Messages
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27800: Daniel Zajork și Joshua Zajork
Metal
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) în colaborare cu Trend Micro Zero Day Initiative
Metal
Disponibilitate pentru: Apple Vision Pro
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-27857: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative
Safari
Disponibilitate pentru: Apple Vision Pro
Impact: Dialogul de permisiune al unui site web poate persista după navigarea departe de site-ul respectiv.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27844: Narendra Bhati (Suma Soft Pvt.) Ltd in Pune (India), Shaheen Fazim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Intrare actualizată pe 20 iunie 2024
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Această problemă a fost rezolvată prin îmbunătățiri aduse algoritmului de injectare a zgomotului.
WebKit Bugzilla: 270767
CVE-2024-27850: un cercetător anonim
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
WebKit Canvas
Disponibilitate pentru: Apple Vision Pro
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot
WebKit Web Inspector
Disponibilitate pentru: Apple Vision Pro
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Alte mențiuni
ImageIO
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Transparency
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.