W ostatni poniedziałek korporacja Apple zaktualizowała VisionOS, czyli system operacyjny obsługujący gogle wirtualnej rzeczywistości Vision Pro, do wersji 1.2. To wydanie usuwa kilka luk w zabezpieczeniach, w tym być może pierwszą w historii podatność specyficzną dla tego rodzaju produktów.
VisionOS 1.2 naprawia ponad 20 podatności, jednak zdecydowana większość z nich znajduje się w komponentach, które VisionOS udostępnia innym produktom Apple, takim jak iOS, macOS i tvOS.
W poniedziałek Apple opublikowało nowy poradnik bezpieczeństwa systemu VisionOS, a także zaktualizowało poradniki dotyczące systemów iOS, macOS i innych udostępnionych pierwotnie w maju, dodając CVE z poradnika VisionOS.
Luki mogą prowadzić do wykonania dowolnego kodu, ujawnienia informacji, eskalacji uprawnień i odmowy usługi (DoS).
Wyróżniająca się podatność to CVE-2024-27812. Wydaje się, iż jest to jedyny CVE specyficzny dla urządzenia Vision Pro, ponieważ nie został wymieniony w zaleceniach dotyczących żadnego produktu Apple innego niż VisionOS.
Według Apple CVE-2024-27812 jest powiązany z przetwarzaniem specjalnie spreparowanych treści internetowych, a wykorzystanie może prowadzić do stanu DoS na urządzeniu.
„Problem rozwiązano poprzez ulepszenie protokołu obsługi plików” – stwierdziło Apple w swoim oświadczeniu.
Ryan Pickren, badacz cyberbezpieczeństwa, któremu Apple przypisuje zgłoszenie tej luki, potwierdził, iż jest to rzeczywiście luka specyficzna dla Vision Pro i jego zdaniem „jest to pierwszy w historii hack w dziedzinie obliczeń przestrzennych”.
Pickren nie może ujawniać żadnych szczegółów, dopóki nie uzyska zgody Apple.
Badacz otrzymał wcześniej od firmy znaczne nagrody za błędy, a ostatnio należał do zespołu, który opracował złośliwe oprogramowanie zaprojektowane z myślą o nowoczesnych programowalnych sterownikach logicznych (PLC).
Wydaje się zatem, iż informacja ta jest wiarygodna i potwierdzona. Niedługo możemy spodziewać się szczegółów technicznych od Apple lub odkrywcy podatności na temat możliwości wykorzystania luki.
