visionOS 11

Bu belgede visionOS 2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 2

ARKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-44126: Holger Fuhrmannek

APFS

İlgili ürün: Apple Vision Pro

Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, sistem dosyalarının içeriğini değiştirebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması bir saldırganın rastgele dosyalara yazmasına neden olabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek dosya erişimi ile ilgili bir sorun giderildi.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-27880: Junsung Lee

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-44176: Trend Micro Zero Day Initiative ile çalışan ZerPointer Lab'den dw0r ve anonim bir araştırmacı

IOSurfaceAccelerator

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama sistemin beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-44169: Antonio Zekić

Kernel

İlgili ürün: Apple Vision Pro

Etki: Ağ trafiği, bir VPN tüneli dışına sızabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-44165: Andrew Lytvynov

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, Bluetooth'a yetkisiz erişim sağlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ve Mathy Vanhoef

libxml2

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-44198: OSS-Fuzz, Google Project Zero'dan Ned Williamson

mDNSResponder

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Hata işleme iyileştirilerek bir mantık hatası giderildi.

CVE-2024-44183: Olivier Levon

Model I/O

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-5841

Notes

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-44167: ajajfxhj

Presence

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, GPU belleğinden hassas verileri okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-40790: Max Thomas

SceneKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-44144: 냥냥

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40857: Ron Masas

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir

Açıklama: "iFrame" öğeleriyle ilgili kaynaklar arası bir sorun vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.

CVE-2024-44187: Suma Soft Pvt. Ltd. şirketinden Narendra Bhati (twitter.com/imnarendrabhati)

Ek teşekkür listesi

Kernel

Braxton Anderson'a yardımı için teşekkür ederiz.

Maps

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Passwords

Richard Hyunho Im'e (@r1cheeta) yardımı için teşekkür ederiz.

TCC

Vaibhav Prajapati'ye yardımı için teşekkür ederiz.

WebKit

Oligo Security'den Avi Lumelsky'a, Oligo Security'den Uri Katz'a, Eli Grey'e (eligrey.com) ve Johan Carlsson'a (joaxcar) yardımları için teşekkür ederiz.