Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
visionOS 1.2
Дата выпуска: 10 июня 2024 г.
CoreMedia
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27817: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
CoreMedia
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27831: Amir Bazine и Karsten König из CrowdStrike Counter Adversary Operations
Disk Images
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27832: анонимный исследователь
Foundation
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27801: команда CertiK SkyFall
ImageIO
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27836: Junsung Lee в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
IOSurface
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
Kernel
Целевые продукты: Apple Vision Pro
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27840: анонимный исследователь
Kernel
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27815: анонимный исследователь и Joseph Ravichandran (@0xjprx) из MIT CSAIL
libiconv
Целевые продукты: Apple Vision Pro
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27811: Nick Wellnhofer
Messages
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-27800: Daniel Zajork и Joshua Zajork
Metal
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Metal
Целевые продукты: Apple Vision Pro
Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-27857: Michael DePlante (@izobashi) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Safari
Целевые продукты: Apple Vision Pro
Воздействие. Диалоговое окно разрешения на веб-сайте может оставаться открытым после ухода с сайта.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27844: Narendra Bhati (@imnarendrabhati) из компании Suma Soft Pvt. Ltd в Пуне (Индия), Shaheen Fazim
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена путем добавления дополнительной логики.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos из Mozilla
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard из CISPA Helmholtz Center for Information Security
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема с логикой устранена путем улучшенной обработки файлов.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Запись обновлена 20 июня 2024 г.
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена с помощью улучшений алгоритма введения шума.
WebKit Bugzilla: 270767
CVE-2024-27850: анонимный исследователь
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Apple Vision Pro
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки границ.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute
WebKit Canvas
Целевые продукты: Apple Vision Pro
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) из Crawless и @abrahamjuliot
WebKit Web Inspector
Целевые продукты: Apple Vision Pro
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson из underpassapp.com
Дополнительные благодарности
ImageIO
Выражаем благодарность за помощь анонимному исследователю.
Transparency
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).