Informácie o obsahu zabezpečenia systému visionOS 2

Tento dokument opisuje obsah zabezpečenia systému visionOS 2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

visionOS 2

ARKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44126: Holger Fuhrmannek

APFS

Dostupné pre: Apple Vision Pro

Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Dostupné pre: Apple Vision Pro

Dopad: Rozbalenie archívu so škodlivým kódom môže umožniť útočníkovi zapisovať ľubovoľné súbory

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém s prístupom k súborom sa vyriešil vylepšením overovania vstupu.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative a anonymný výskumník

IOSurfaceAccelerator

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44169: Antonio Zekić

Kernel

Dostupné pre: Apple Vision Pro

Dopad: Sieťový prenos môže unikať z tunela VPN.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dostupné pre: Apple Vision Pro

Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

libxml2

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

mDNSResponder

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2024-44183: Olivier Levon

Model I/O

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-5841

Notes

Dostupné pre: Apple Vision Pro

Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-44167: ajajfxhj

Presence

Dostupné pre: Apple Vision Pro

Dopad: Apka môže čítať citlivé údaje z pamäte GPU

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2024-40790: Max Thomas

SceneKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2024-44144: 냥냥

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40857: Ron Masas

WebKit

Dostupné pre: Apple Vision Pro

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Braxton Anderson.

Maps

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Passwords

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@r1cheeta).

TCC

Poďakovanie za pomoc si zaslúži Vaibhav Prajapati.

WebKit

Poďakovanie za pomoc si zaslúžia Avi Lumelsky z tímu Oligo Security, Uri Katz z tímu Oligo Security, Eli Grey (eligrey.com) a Johan Carlsson (joaxcar).