Apple vá lỗ hổng trên tai nghe thực tế ảo Vision Pro
Phiên bản VisionOS 1.2 đã vá gần hai chục lỗ hổng. Tuy nhiên, phần lớn chúng nằm trong các thành phần mà VisionOS chia sẻ với các sản phẩm khác của Apple, chẳng hạn như iOS, macOS và tvOS.
Apple đã phát hành tư vấn bảo mật VisionOS mới và cũng cập nhật iOS, macOS và các tư vấn khác được phát hành trước đó vào tháng 5.
Các lỗ hổng có thể dẫn đến việc thực thi mã tùy ý, tiết lộ thông tin, leo thang đặc quyền và từ chối dịch vụ (DoS). Lỗ hổng nổi bật được định danh mang mã CVE-2024-27812. Đây là lỗ hổng duy nhất dành riêng cho tai nghe Vision Pro, vì nó không được liệt kê trong phần tư vấn dành cho bất kỳ sản phẩm nào của Apple ngoài VisionOS.
Theo Apple, lỗ hổng CVE-2024-27812 có liên quan đến việc xử lý nội dung web được tạo ra đặc biệt và việc khai thác có thể dẫn đến tình trạng DoS. Tuy nhiên, vấn đề đã được hãng giải quyết bằng những cải tiến đối với giao thức xử lý tệp.
Ông Ryan Pickren, nhà nghiên cứu an ninh mạng đã báo cáo lỗ hổng này và cho biết đây thực sự là một lỗ hổng dành riêng cho Vision Pro. Ông Ryan trước đây đã nhận được số tiền thưởng lỗi đáng kể từ Apple và gần đây là thành viên của nhóm phát triển phần mềm độc hại được thiết kế để nhắm mục tiêu vào các bộ điều khiển logic lập trình (PLC) hiện đại.
Quốc An