מידע על תוכן האבטחה של visionOS 2.1
המסמך מתאר את תוכן האבטחה של visionOS 2.1.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
visionOS 2.1
הופץ ב-28 באוקטובר 2024
App Support
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להצליח להפעיל קיצורי דרך שרירותיים ללא הסכמת המשתמש
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2024-44255: חוקר אנונימי
AppleAVD
זמין עבור: Apple Vision Pro
השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2024-44232: Ivan Fratric מ-Google Project Zero
CVE-2024-44233: Ivan Fratric מ-Google Project Zero
CVE-2024-44234: Ivan Fratric מ-Google Project Zero
הרשומה נוספה ב-1 בנובמבר 2024
Calendar
זמין עבור: Apple Vision Pro
השפעה: תוקף עם גישה לנתוני לוח שנה יכול לקרוא גם תזכורות
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2024-54535: K宝(@Pwnrin)
הרשומה נוספה ב‑15 בינואר 2025
CoreMedia Playback
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab
CoreText
זמין עבור: Apple Vision Pro
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-44240: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Foundation
זמין עבור: Apple Vision Pro
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-44282: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-44215: Junsung Lee יחד עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple Vision Pro
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2024-44297: Jex Amro
IOSurface
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2024-44285: חוקר אנונימי
Kernel
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Lock Screen
זמין עבור: Apple Vision Pro
השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-44262: Justin Saboo
Managed Configuration
זמין עבור: Apple Vision Pro
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
זמין עבור: Apple Vision Pro
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44277: חוקר אנונימי ו-Yinyi Wu (@_3ndy1) מ-Dawn Security Lab of JD.com, Inc.
Safari Downloads
זמין עבור: Apple Vision Pro
השפעה: תוקף עלול להצליח לעשות שימוש לא ראוי ביחסי אמון כדי להוריד תוכן זדוני
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44259: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
Safari Private Browsing
זמין עבור: Apple Vision Pro
השפעה: גלישה פרטית עלולה לגרום להדלפה של חלק מהיסטוריית הגלישה
תיאור: דליפת מידע טופלה עם אימות נוסף.
CVE-2024-44229: Lucas Di Tomase
Security
זמין עבור: Apple Vision Pro
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2024-54538: Bing Shi, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington
הרשומה נוספה ב-19 בדצמבר 2024
Shortcuts
זמין עבור: Apple Vision Pro
השפעה: יישום זדוני עלול להשתמש בקיצורי דרך כדי לגשת לקבצים מוגבלים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-44269: Kirin (@Pwnrin) וחוקר אנונימי
הרשומה עודכנה ב-11 בדצמבר 2024
Siri
זמין עבור: Apple Vision Pro
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
זמין עבור: Apple Vision Pro
השפעה: יישום בארגז חול עלול לגשת לנתוני משתמש רגישים ביומני המערכת
תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
זמין עבור: Apple Vision Pro
השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר
תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula מ-SecuRing (wojciechregula.blog)
הרשומה נוספה ב-11 בדצמבר 2024
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 279780
CVE-2024-44244: חוקר אנונימי, Q1IQ (@q1iqF) ו-P1umer (@p1umer)
WebKit
זמין עבור: Apple Vision Pro
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
תודות נוספות
Calendar
אנחנו מבקשים להודות ל-K宝 (@Pwnrin) על הסיוע.
ImageIO
אנחנו מבקשים להודות ל-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, חוקר אנונימי על הסיוע.
Messages
אנחנו מבקשים להודות ל-Collin Potter, חוקר אנונימי על הסיוע.
NetworkExtension
אנחנו מבקשים להודות ל-Patrick Wardle מ-DoubleYou & the Objective-See Foundation על הסיוע.
Photos
אנחנו מבקשים להודות ל-James Robertson על הסיוע.
Safari Private Browsing
אנחנו מבקשים להודות לחוקר אנונימי ול-Jacob Compton על הסיוע.
הרשומה עודכנה ב-11 בדצמבר 2024
Safari Tabs
אנחנו מבקשים להודות ל-Jaydev Ahire על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.