Apple łata podatność w Vision Pro, wykorzystaną w pierwszym w historii hakowaniu gogli do obliczeń przestrzennych

VisionOS 1.2 naprawia ponad 20 podatności, jednak zdecydowana większość z nich znajduje się w komponentach, które VisionOS udostępnia innym produktom Apple, takim jak iOS, macOS i tvOS.

W poniedziałek Apple opublikowało nowy poradnik bezpieczeństwa systemu VisionOS, a także zaktualizowało poradniki dotyczące systemów iOS, macOS i innych udostępnionych pierwotnie w maju, dodając CVE z poradnika VisionOS.

Luki mogą prowadzić do wykonania dowolnego kodu, ujawnienia informacji, eskalacji uprawnień i odmowy usługi (DoS).

Wyróżniająca się podatność to CVE-2024-27812. Wydaje się, że jest to jedyny CVE specyficzny dla urządzenia Vision Pro, ponieważ nie został wymieniony w zaleceniach dotyczących żadnego produktu Apple innego niż VisionOS.

Według Apple CVE-2024-27812 jest powiązany z przetwarzaniem specjalnie spreparowanych treści internetowych, a wykorzystanie może prowadzić do stanu DoS na urządzeniu.

„Problem rozwiązano poprzez ulepszenie protokołu obsługi plików” – stwierdziło Apple w swoim oświadczeniu.

Ryan Pickren, badacz cyberbezpieczeństwa, któremu Apple przypisuje zgłoszenie tej luki, potwierdził, że jest to rzeczywiście luka specyficzna dla Vision Pro i jego zdaniem „jest to pierwszy w historii hack w dziedzinie obliczeń przestrzennych”.

Pickren nie może ujawniać żadnych szczegółów, dopóki nie uzyska zgody Apple.

Badacz otrzymał wcześniej od firmy znaczne nagrody za błędy, a ostatnio należał do zespołu, który opracował złośliwe oprogramowanie zaprojektowane z myślą o nowoczesnych programowalnych sterownikach logicznych (PLC).

Wydaje się zatem, że informacja ta jest wiarygodna i potwierdzona. Niedługo możemy spodziewać się  szczegółów technicznych od Apple lub odkrywcy podatności na temat możliwości wykorzystania luki.