Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
visionOS 1.1
Släpptes 7 mars 2024
Accessibility
Tillgängligt för: Apple Vision Pro
Effekt: En app kan förfalska systemaviseringar och användargränssnitt
Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.
CVE-2024-23262: Guilherme Rambo på Best Buddy Apps (rambo.codes)
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23257: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-23258: Zhenjiang Zhao på pangu team och Qianxin
ImageIO
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2024-23235
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2024-23265: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: Apple Vision Pro
Effekt: En angripare med godtycklig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23225
Metal
Tillgängligt för: Apple Vision Pro
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbete med Trend Micro Zero Day Initiative
Persona
Tillgängligt för: Apple Vision Pro
Effekt: En obehörig användare kan använda en oskyddad Persona
Beskrivning: Ett behörighetsproblem åtgärdades för att säkerställa att Personas alltid är skyddade
CVE-2024-23295: Patrick Reardon
RTKit
Tillgängligt för: Apple Vision Pro
Effekt: En angripare med godtycklig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23296
Safari
Tillgängligt för: Apple Vision Pro
Effekt: En app kanske kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2024-23220
UIKit
Tillgängligt för: Apple Vision Pro
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-23246: Deutsche Telekom Security GmbH som sponsras av Bundesamt für Sicherheit in der Informationstechnik
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: En webbplats med skadligt innehåll kan komma åt ljuddata från flera källor
Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Tillgängligt för: Apple Vision Pro
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber och Marco Squarcina
Ytterligare tack
Kernel
Vi vill tacka Tarek Joumaa (@tjkr0wn) och 이준성(Junsung Lee) för hjälpen.
Model I/O
Vi vill tacka Junsung Lee för deras hjälpen.
Power Management
Vi vill tacka Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd. för hjälpen.
Safari
Vi vill tacka Abhinav Saraswat, Matthew C och 이동하 (Lee Dong Ha på ZeroPointer Lab) för hjälpen.
WebKit
Vi vill tacka Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina och Lorenzo Veronese på TU Wien för hjälpen.