Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
visionOS 1.1
Yayınlanma Tarihi: 7 Mart 2024
Accessibility
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, sahte sistem bildirimleri ve kullanıcı arabirimi öğeleri görüntüleyebilir
Açıklama: Ek yetki denetimleriyle bu sorun giderildi.
CVE-2024-23262: Guilherme Rambo, Best Buddy Apps (rambo.codes)
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-23257: Junsung Lee (Trend Micro Zero Day Initiative programıyla)
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2024-23258: Zhenjiang Zhao, pangu team ve Qianxin
ImageIO
İlgili ürün: Apple Vision Pro
Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Ek doğrulama ile bir yarış durumu giderildi.
CVE-2024-23235
Kernel
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.
CVE-2024-23265: Xinru Chi, Pangu Lab
Kernel
İlgili ürün: Apple Vision Pro
Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23225
Metal
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm (Trend Micro Zero Day Initiative programıyla)
Persona
İlgili ürün: Apple Vision Pro
Etki: Kimliği doğrulanmamış bir kullanıcı, korumalı olmayan bir Persona kullanabilir
Açıklama: Persona'ların daima korumalı olmasının sağlanmasına yardımcı olması için bir izin sorunu giderildi
CVE-2024-23295: Patrick Reardon
RTKit
İlgili ürün: Apple Vision Pro
Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23296
Safari
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, kullanıcının benzersiz bir temsilini oluşturabilir
Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-23220
UIKit
İlgili ürün: Apple Vision Pro
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğunda Deutsche Telekom Security GmbH
WebKit
İlgili ürün: Apple Vision Pro
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında ses verileri sızdırabilir
Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
İlgili ürün: Apple Vision Pro
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ve Marco Squarcina
Ek teşekkür listesi
Kernel
Yardımları için Tarek Joumaa'ya (@tjkr0wn) ve Junsung Lee'ye (이준성) teşekkür ederiz.
Model I/O
Yardımları için Junsung Lee'ye teşekkür ederiz.
Power Management
Yardımları için STAR Labs SG Pte Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) teşekkür ederiz.
Safari
Yardımları için Abhinav Saraswat'a, Matthew C'ye ve ZeroPointer Lab'den Lee Dong Ha'ya (이동하) teşekkür ederiz.
WebKit
Yardımları için TU Wien'den Lorenzo Veronese'ye, Valentino Dalla Valle'ye, Pedro Bernardo'ya ve Marco Squarcina'ya teşekkür ederiz.