visionOS 1.1'in güvenlik içeriği hakkında

Bu belgede visionOS 1.1'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 1.1

Accessibility

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sahte sistem bildirimleri ve kullanıcı arabirimi öğeleri görüntüleyebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2024-23262: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23257: Junsung Lee (Trend Micro Zero Day Initiative programıyla)

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-23258: Pangu ekibinden Zhenjiang Zhao, Qianxin ve CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23235

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2024-23265: Xinru Chi, Pangu Lab

Kernel

İlgili ürün: Apple Vision Pro

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23225

Metal

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm (Trend Micro Zero Day Initiative programıyla)

Persona

İlgili ürün: Apple Vision Pro

Etki: Kimliği doğrulanmamış bir kullanıcı, korumalı olmayan bir Persona kullanabilir

Açıklama: Persona'ların daima korumalı olmasının sağlanmasına yardımcı olması için bir izin sorunu giderildi

CVE-2024-23295: Patrick Reardon

RTKit

İlgili ürün: Apple Vision Pro

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23296

Safari

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, kullanıcının parmak izini alabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23220

UIKit

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğundaki Deutsche Telekom Security GmbH

WebKit

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23226: Pwn2car

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı bir web sitesi kaynaklar arasında ses verileri sızdırabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23284: Georg Felber ve Marco Squarcina

Ek teşekkür listesi

Kernel

Tarek Joumaa (@tjkr0wn) ve 이준성(Junsung Lee) adlı araştırmacılara yardımları için teşekkür ederiz.

Model I/O

Junsung Lee'ye yardımı için teşekkür ederiz.

Power Management

STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) yardımı için teşekkür ederiz.

Safari

Yardımları için Abhinav Saraswat'a, Matthew C'ye ve ZeroPointer Lab'den Lee Dong Ha'ya (이동하) teşekkür ederiz.

WebKit

Yardımları için TU Wien'den Lorenzo Veronese'ye, Valentino Dalla Valle'ye, Pedro Bernardo'ya ve Marco Squarcina'ya teşekkür ederiz.