visionOS 1.2'nin güvenlik içeriği hakkında

Bu belgede visionOS 1.2'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

visionOS 1.2

Yayınlanma tarihi: 10 Haziran 2024

CoreMedia

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27817: Ant Security Light-Year Lab'den pattern-f (@pattern_F_)

CoreMedia

İlgili ürün: Apple Vision Pro

Etki: Bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27831: CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

Disk Images

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27832: anonim bir araştırmacı

Foundation

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27801: CertiK SkyFall Ekibi

ImageIO

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27836: Junsung Lee (Trend Micro Zero Day Initiative programıyla)

IOSurface

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27828: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürün: Apple Vision Pro

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği korumalarını atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-27840: anonim bir araştırmacı

Kernel

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27815: anonim bir araştırmacı ve MIT CSAIL'den Joseph Ravichandran (@0xjprx)

libiconv

İlgili ürün: Apple Vision Pro

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27811: Nick Wellnhofer

Messages

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi, servis reddine neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-27800: Daniel Zajork ve Joshua Zajork

Metal

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) (Trend Micro Zero Day Initiative programıyla)

Metal

İlgili ürün: Apple Vision Pro

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-27857: Trend Micro Zero Day Initiative'den Michael DePlante (@izobashi)

Safari

İlgili ürün: Apple Vision Pro

Etki: Bir web sitesinin izin iletişim kutusu, siteden çıktıktan sonra kalmaya devam edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-27844: Pune'daki (Hindistan) Suma Soft Pvt. Ltd'den Narendra Bhati, Shaheen Fazim

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Ek mantık eklenmesiyle bu sorun giderildi.

WebKit Bugzilla: 262337
CVE-2024-27838: Mozilla'dan Emilio Cobos

WebKit

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 268221
CVE-2024-27808: CISPA Helmholtz Center for Information Security'den Lukas Bernhard

WebKit

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Dosya işleme iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-27812: Ryan Pickren (ryanpickren.com)

Giriş güncellenme tarihi: 20 Haziran 2024

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Parazit enjeksiyonu algoritmasındaki iyileştirmeler ile bu sorun giderildi.

WebKit Bugzilla: 270767
CVE-2024-27850: anonim bir araştırmacı

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

WebKit Bugzilla: 271491
CVE-2024-27833: Trend Micro Zero Day Initiative programında çalışan Manfred Paul (@_manfp)

WebKit

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

WebKit Bugzilla: 272106
CVE-2024-27851: 360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13)

WebKit Canvas

İlgili ürün: Apple Vision Pro

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 271159
CVE-2024-27830: Crawless'tan Joe Rutkowski (@Joe12387) ve @abrahamjuliot

WebKit Web Inspector

İlgili ürün: Apple Vision Pro

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 270139
CVE-2024-27820: underpassapp.com'dan Jeff Johnson

 

Ek teşekkür listesi

ImageIO

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Transparency

Yardımları için Mickey Jin'e (@patch1t) teşekkür ederiz.

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: