Over de beveiligingsinhoud van visionOS 2
In dit document wordt de beveiligingsinhoud van visionOS 2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
visionOS 2
Releasedatum: 16 september 2024
ARKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44126: Holger Fuhrmannek
Invoer toegevoegd op 28 oktober 2024
APFS
Beschikbaar voor: Apple Vision Pro
Impact: een kwaadwillige app met rootbevoegdheden kan mogelijk de inhoud van systeembestanden wijzigen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)
Compression
Beschikbaar voor: Apple Vision Pro
Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven willekeurige bestanden te schrijven
Beschrijving: een race condition is verholpen door verbeterde vergrendeling.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
DiskArbitration
Beschikbaar voor: Apple Vision Pro
Impact: een app in de sandbox heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-40855: Csaba Fitzl (@theevilbit) van Kandji
Toegevoegd op 3 maart 2025
FileProvider
Beschikbaar voor: Apple Vision Pro
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-54469: Csaba Fitzl (@theevilbit) van Kandji
Toegevoegd op 3 maart 2025
Game Center
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-27880: Junsung Lee
ImageIO
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker
IOSurfaceAccelerator
Beschikbaar voor: Apple Vision Pro
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-44169: Antonio Zekić
Kernel
Beschikbaar voor: Apple Vision Pro
Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-44165: Andrew Lytvynov
Kernel
Beschikbaar voor: Apple Vision Pro
Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef
libxml2
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2024-44198: OSS-Fuzz, en Ned Williamson van Google Project Zero
mDNSResponder
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk een denial-of-service veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterde behandeling van fouten.
CVE-2024-44183: Olivier Levon
Model I/O
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2023-5841
Notes
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-44167: ajajfxhj
Presence
Beschikbaar voor: Apple Vision Pro
Impact: een app kan mogelijk gevoelige gegevens uit het GPU-geheugen lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2024-40790: Max Thomas
SceneKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2024-44144: 냥냥
Invoer toegevoegd op 28 oktober 2024
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: een probleem met het beheer van cookies is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 287874
CVE-2024-54467: Narendra Bhati, Manager of Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Toegevoegd op 3 maart 2025
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 268770
CVE-2024-44192: Tashita Software Security
Toegevoegd op 3 maart 2025
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Beschikbaar voor: Apple Vision Pro
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager of Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Aanvullende erkenning
Kernel
Met dank aan Braxton Anderson voor de hulp.
Maps
Met dank aan Kirin (@Pwnrin) voor de hulp.
Notifications
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal, Dev dutta (manas.dutta.75) en Prateek Pawar (vakil sahab) voor de hulp.
Toegevoegd op 3 maart 2025
Passwords
Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.
Photos
Met dank aan Junior Vergara voor de hulp.
Toegevoegd op 3 maart 2025
TCC
Met dank aan Vaibhav Prajapati voor de hulp.
WebKit
Met dank aan Avi Lumelsky van Oligo Security, Uri Katz van Oligo Security, Eli Grey (eligrey.com) en Johan Carlsson (joaxcar) voor de hulp.
Invoer Update op 28 oktober 2024
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.