Проблеми системи безпеки, які усунено у visionOS 2.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні visionOS 2.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
visionOS 2.2
Дата випуску: 11 грудня 2024 р.
APFS
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) і анонімний дослідник
Запис додано 27 січня 2025 р.
Crash Reporter
Цільові продукти: Apple Vision Pro
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2024-54513: анонімний дослідник
FontParser
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
ICU
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-54478: Gary Kwong
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2024-54499: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Kernel
Цільові продукти: Apple Vision Pro
Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-44245: анонімний дослідник
Kernel
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може створити відображення пам’яті лише для читання, у яке можна записувати дані.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2024-54494: sohybbyk
libexpat
Цільові продукти: Apple Vision Pro
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2024-45490
MobileBackup
Цільові продукти: Apple Vision Pro
Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.
Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (колективна робота Davis Dai, ORAC 落云, Frank Du)
Запис додано 17 березня 2025 р.
Passkeys
Цільові продукти: Apple Vision Pro
Вплив: функція автозаповнення паролів може заповнювати паролі після невдалої автентифікації.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) із центру C-DAC в місті Тіруванантхапурам (Індія), Rakeshkumar Talaviya, Tomomasa Hiraiwa
Запис додано 27 січня 2025 р., оновлено 17 березня 2025 р.
Passwords
Цільові продукти: Apple Vision Pro
Вплив: зловмисник із привілейованим положенням у мережі може змінювати мережевий трафік.
Опис: цю проблему вирішено завдяки використанню HTTPS під час надсилання інформації через мережу.
CVE-2024-54492: Talal Haj Bakry й Tommy Mysk із Mysk Inc. (@mysk_co)
QuartzCore
Цільові продукти: Apple Vision Pro
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
SceneKit
Цільові продукти: Apple Vision Pro
Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Vim
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-45306
Запис додано 27 січня 2025 р.
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka з Google Project Zero
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy із HKUS3Lab та chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Цільові продукти: Apple Vision Pro
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong і анонімний дослідник
Запис оновлено 27 січня 2025 р.
Додаткова подяка
Bluetooth
Дякуємо за допомогу Sophie Winter.
Запис додано 17 березня 2025 р.
FaceTime Foundation
Дякуємо Joshua Pellecchia за допомогу.
Photos
Дякуємо за допомогу користувачам Chi Yuan Chang із ZUSO ART і taikosoup.
Proximity
Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng університету George Mason.
Safari Private Browsing
Дякуємо за допомогу Richard Hyunho Im (@richeeta) із Route Zero Security.
Swift
Дякуємо за допомогу доктор природничих наук др. природничих наук.
WebKit
Дякуємо Hafiizh за допомогу.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.