VisionOS 2.1’de Giderilen Apple Vision Pro Güvenlik Açıkları

   Ekim 29, 2024  Posted in ThecyberExpress


Apple, yenilikçi karma gerçeklik kulaklığı Apple Vision Pro için merakla beklenen VisionOS 2.1 güncellemesini başlattı. Bu güncelleme, kullanıcı gizliliği ve cihaz güvenliği açısından ciddi riskler oluşturabilecek bir dizi Apple Vision Pro güvenlik açığını giderdiği için özellikle önemlidir.

VisionOS 2.1 güncellemesi, bazıları kötü niyetli kişilerin rastgele kod yürütmesine, hassas bilgilere erişmesine ve hatta sistemi çökertmesine olanak tanıyan 25’ten fazla tanımlanmış güvenlik açığına yönelik çözümler içeriyor. Düzeltilen en endişe verici güvenlik açıkları arasında, uygulamaların beklenmedik şekilde sistemi sonlandırmasına veya çekirdek belleğinin bozulmasına neden olabilecek çekirdek belleği bozulması sorunu yer alıyor.

Güncelleme, WebKit’in Apple Vision Pro’daki Safari tarayıcısı için web motoru olarak hizmet verdiği göz önüne alındığında çok önemli olan WebKit ile ilgili çeşitli güvenlik açıklarının yamalanmasını vurguluyor. Giderilen dikkate değer bir güvenlik açığı, kötü amaçlarla hazırlanmış web içeriğini işlerken beklenmedik çökmelere yol açabilir.

Apple Vision Pro Güvenlik Açıklarının ve Diğer Kusurların Ayrıntılı Dağılımı

VisionOS 2.1 güncellemesi, farklı işletim sistemi bileşenlerindeki çeşitli yüksek önemdeki güvenlik açıklarını stratejik olarak hedefler:

  1. Yol İşleme Güvenlik Açığı: Kritik bir kusur (CVE-2024-44255), kötü amaçlı uygulamaların kullanıcının izni olmadan rastgele kısayollar çalıştırmasına izin verdi. Apple, gelişmiş mantık kontrolleri uygulayarak bu sorunu çözdü.
  2. CoreMedia Oynatma Sorunu: CoreMedia Playback bileşenindeki başka bir güvenlik açığı (CVE-2024-44273), kötü amaçlı bir uygulamanın uygunsuz sembolik bağlantı işleme yoluyla özel bilgilere erişmesine izin vermiş olabilir. Sembolik bağlantı işleme protokollerinin geliştirilmesi bu riski azaltır.
  3. Çekirdek Düzeyindeki Güvenlik Açıkları: Uygulamaların hassas çekirdek durumlarını sızdırmasına olanak tanıyan bir bilginin açığa çıkması sorunu (CVE-2024-44239) dahil olmak üzere çeşitli çekirdek güvenlik açıkları giderildi. Apple, bu riski ortadan kaldırmak için günlük girişlerindeki özel verilerin düzenlenmesini iyileştirdi.
  4. Ücretsiz Kullanım Sonrası Sorunu: IOSurface bileşenindeki kritik bir ücretsiz kullanım sonrası güvenlik açığı (CVE-2024-44285), sistem çökmelerine veya çekirdek belleğinin bozulmasına yol açabilir. Bu sorun, gelişmiş bellek yönetimi stratejileriyle giderildi.
  5. WebKit İyileştirmeleri: Güncelleme, WebKit’in güvenliğinde önemli ilerlemeler sağladı. Kötü amaçlı içerik işlenirken bellek bozulması sorunları ve İçerik Güvenliği Politikası’nın (CSP) uygulanmasındaki hatalar, daha iyi giriş doğrulama yoluyla giderildi (CVE-2024-44244, CVE-2024-44296).

Apple, bu güncellemelerin önemini vurguladı ve şunu belirtti: “Müşterilerimizin korunması için, Apple, bir araştırma gerçekleşene ve yamalar veya sürümler mevcut olana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz.”

Güvenlik Açıklarına Genel Bakış


Tarayıcınız video etiketini desteklemiyor.

VisionOS 2.1 güncellemesi yalnızca Apple Vision Pro’nun güvenliğini artırmakla kalmıyor, aynı zamanda birden fazla bileşendeki güvenlik açıklarını da ele alıyor:

  • CoreText Güvenlik Açığı: (CVE-2024-44240) Hazırlanan yazı tiplerinin uygun olmayan şekilde işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir; bu risk, gelişmiş doğrulama kontrolleriyle azaltılmıştır.
  • Temel ve ImageIO Sorunları: Dosyaların ayrıştırılması ve görüntülerin işlenmesiyle ilgili çeşitli güvenlik açıkları (CVE-2024-44282, CVE-2024-44215) bilgilerin açığa çıkmasına neden olabilir. Bu sorunlar, geliştirilmiş doğrulama mekanizmaları aracılığıyla giderildi.
  • Kilit Ekranı İyileştirmeleri: Kullanıcıların hassas bilgileri görüntülemesine olanak tanıyan bir güvenlik açığı (CVE-2024-44262), daha iyi redaksiyon protokolleriyle düzeltildi.
  • Siri Güvenlik Geliştirmeleri: Uygulamaların günlüklerdeki (CVE-2024-44278) hassas kullanıcı verilerine erişmesine izin veren sorunlar, gelişmiş özel veri düzeltme işlemiyle giderildi.
  • Safari’nin Özellikleri: Güncelleme, özel tarama modlarından (CVE-2024-44229) ve Safari indirmelerinden (CVE-2024-44259) kaynaklanan riskler de dahil olmak üzere Safari’deki güvenlik açıklarını gidererek web etkileşimleri sırasında kullanıcı güvenliğini güçlendirdi.

Topluluk Katkıları

Apple, bu Apple Vision Pro güvenlik açıklarının ve diğer kusurların belirlenmesine katkıda bulunan araştırmacıların ve güvenlik uzmanlarının çabalarını takdir etmektedir. Güncellemedeki çeşitli CVE tanımlayıcıları, Trend Micro’nun Sıfır Gün Girişimi ve diğer güvenlik kuruluşlarındaki araştırmacılara atfedilmektedir. İşbirliği, Apple Vision Pro’nun güvenliğinin güçlendirilmesinde etkili oldu.

VisionOS 2.1 güncellemesinin yayınlanmasıyla birlikte Apple, yenilikçi Vision Pro kulaklığı için güvenliği ve kullanıcı gizliliğini artırma konusundaki kararlılığını sürdürüyor. Güncelleme, WebKit ile ilgili önemli güvenlik açıkları da dahil olmak üzere 25’ten fazla güvenlik açığını gidererek kullanıcılar için daha güvenli bir karma gerçeklik deneyimi sağlıyor. Güvenlik güncellemeleri hakkında daha fazla ayrıntıyla ilgilenenler için Apple, daha kapsamlı bilgi sağlayan özel bir güvenlik bültenleri sayfası ve bir Ürün Güvenliği sayfası bulundurmaktadır.



Source link