Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
visionOS 1.2
Vydané 10. júna 2024
CoreMedia
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27817: pattern-f (@pattern_F_), Ant Security Light-Year Lab
CoreMedia
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27831: Amir Bazine a Karsten König z CrowdStrike Counter Adversary Operations
Disk Images
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27832: Anonymný výskumník
Foundation
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27836: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurface
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Kernel
Dostupné pre: Apple Vision Pro
Dopad: Útočník, ktorý už dosiahol spustenie kódu jadra, môže byť schopný obísť ochranu pamäte jadra.
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-27840: anonymný výskumník
Kernel
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27815: anonymný výskumník a Joseph Ravichandran (@0xjprx) z MIT CSAIL
libiconv
Dostupné pre: Apple Vision Pro
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27811: Nick Wellnhofer
Messages
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-27800: Daniel Zajork a Joshua Zajork
Metal
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Metal
Dostupné pre: Apple Vision Pro
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-27857: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Safari
Dostupné pre: Apple Vision Pro
Dopad: Dialógové okno s povolením webovej stránky môže pretrvávať aj po odchode z lokality
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27844: Narendra Bhati Suma Soft Pvt. Ltd, Pune (India), Shaheen Fazim
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa
Popis: Problém bol vyriešený pridaním ďalšej logiky.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos, Mozilla
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard, CISPA Helmholtz Center for Information Security
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Dátum aktualizovania záznamu: 20. júna 2024
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa
Popis: Tento problém bol vyriešený vylepšením algoritmu vstrekovania šumu.
WebKit Bugzilla: 270767
CVE-2024-27850: Anonymný výskumník
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute
WebKit Canvas
Dostupné pre: Apple Vision Pro
Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa
Popis: Tento problém bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) z Crawless a @abrahamjuliot
WebKit Web Inspector
Dostupné pre: Apple Vision Pro
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson, underpassapp.com
Ďalšie poďakovanie
ImageIO
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Transparency
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).