מידע על תוכן האבטחה של visionOS 1.2
מסמך זה מתאר את תוכן האבטחה של visionOS 1.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
visionOS 1.2
הופץ ב-10 ביוני 2024
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27817: pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab
CoreMedia
זמין עבור: Apple Vision Pro
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27831: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
Disk Images
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27832: חוקר אנונימי
Foundation
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27836: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative
IOSurface
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
Kernel
זמין עבור: Apple Vision Pro
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27840: חוקר אנונימי
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27815: חוקר אנונימי ו-Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
libiconv
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27811: Nick Wellnhofer
Messages
זמין עבור: Apple Vision Pro
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27800: Daniel Zajork ו-Joshua Zajork
Metal
זמין עבור: Apple Vision Pro
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative
Metal
זמין עבור: Apple Vision Pro
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-27857: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Safari
זמין עבור: Apple Vision Pro
השפעה: תיבת דו-שיח לקבלת הרשאה באתר עלולה להמשיך להיות מוצגת לאחר ניווט אל מחוץ לאתר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27844: Narendra Bhati מ-Suma Soft Pvt. Ltd in Pune (בהודו), Shaheen Fazim
Transparency
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות זכאות חדשה.
CVE-2024-27884: Mickey Jin (@patch1t)
הרשומה נוספה ב‑29 ביולי 2024
WebKit
זמין עבור: Apple Vision Pro
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos מ-Mozilla
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard מ-CISPA Helmholtz Center for Information Security
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
הרשומה עודכנה ב‑20 ביוני 2024
WebKit
זמין עבור: Apple Vision Pro
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות שיפורים באלגוריתם להזרקת רעש.
WebKit Bugzilla: 270767
CVE-2024-27850: חוקר אנונימי
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) בעבודה עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute
WebKit Canvas
זמין עבור: Apple Vision Pro
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) מ-Crawless ו-@abrahamjuliot
WebKit Web Inspector
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson מ-underpassapp.com
תודות נוספות
ImageIO
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.