Om sikkerhedsindholdet i visionOS 2

I dette dokument beskrives sikkerhedsindholdet i visionOS 2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

visionOS 2

ARKit

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44126: Holger Fuhrmannek

APFS

Fås til: Apple Vision Pro

Effekt: En skadelig app med rodrettigheder kan muligvis ændre indholdet af systemarkiver

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

Compression

Fås til: Apple Vision Pro

Effekt: Udpakning af et skadeligt arkiv kan give en hacker mulighed for at skrive vilkårlige arkiver

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med arkivadgang er løst via forbedret inputvalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-27880: Junsung Lee

ImageIO

Fås til: Apple Vision Pro

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-44176: dw0r fra ZeroPointer Lab, der arbejder med Trend Micro Zero Day Initiative, og en anonym programmør

IOSurfaceAccelerator

Fås til: Apple Vision Pro

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-44169: Antonio Zekić

Kernel

Fås til: Apple Vision Pro

Effekt: Netværkstrafik kan blive lækket uden for en VPN-tunnel

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Fås til: Apple Vision Pro

Effekt: En app kan muligvis få uautoriseret adgang til Bluetooth

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

libxml2

Fås til: Apple Vision Pro

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-44198: OSS-Fuzz, Ned Williamson fra Google Project Zero

mDNSResponder

Fås til: Apple Vision Pro

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.

CVE-2024-44183: Olivier Levon

Model I/O

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt billede kan medføre DoS (denial-of-service)

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-5841

Notes

Fås til: Apple Vision Pro

Effekt: En app kan muligvis overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-44167: ajajfxhj

Presence

Fås til: Apple Vision Pro

Effekt: En app kan muligvis læse følsomme data fra GPU-hukommelsen

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2024-40790: Max Thomas

SceneKit

Fås til: Apple Vision Pro

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2024-44144: 냥냥

WebKit

Fås til: Apple Vision Pro

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40857: Ron Masas

WebKit

Fås til: Apple Vision Pro

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med "iframe"-elementer på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Yderligere anerkendelser

Kernel

Vi vil gerne takke Braxton Anderson for hjælpen.

Maps

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Passwords

Vi vil gerne takke Richard Hyunho Im (@r1cheeta) for hjælpen.

TCC

Vi vil gerne takke Vaibhav Prajapati for hjælpen.

WebKit

Vi vil gerne takke Avi Lumelsky of Oligo Security, Uri Katz fra Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) for hjælpen.