Apple устранила в VisionOS 1.2 уязвимость CVE-2024-27812, позволяющую вызвать в пространстве пользователя пауков и мышей

Программист и эксперт по ИБ Райан Пикрен (Ryan Pickren) раскрыл детали уязвимости CVE-2024-27812 («первый найденный пространственный дефект» в VisionOS и Safari) с возможностью вызова сторонних объектов, например пауков и летучих мышей, в пространстве пользователя гарнитуры Vision Pro. В Apple посчитали это баг атакой типа DoS («отказ в обслуживании») через WebKit против пользователей гарнитуры. Разработчики компании выпустили патч против CVE-2024-27812 в обновлении VisionOS 1.2.

По мнению Пикрена, в реальности обнаруженный им баг имеет гораздо более существенное влияние на пользователей. Разработчик смог показать, что кликанье по одной ссылке пользователем в Safari может привести к быстрой активации VisionOS 1.1 и предыдущих версиях множественных объектов (специально созданного веб-контента), включая тех, к которым у пользователей есть отторжение или страх.

Vision Pro обеспечивает предотвращение запуска неавторизованных приложений и проникновения в личное пространство пользователя. По умолчанию нативные приложения ограничены контекстом «общего пространства», где они действуют предсказуемо и их можно легко закрыть. «Полное пространство» в Vision Pro разработчикам доступно через явное разрешение от пользователя через приглашение на уровне ОС.

В частности, посещаемые в Safari через гарнитуру Vision Pro сайты могут запускать 3D-объекты в комнате присутствия только в том случае, если пользователь предоставил им разрешение вручную.

Пикрен обнаружил, что Apple не реализовала необходимый уровень защиты к ARKit Quick Look в iOS, так что функция всё ещё присутствует в WebKit и не требует никаких дополнительных разрешений в Safari, а также подтверждения от пользователя.

Эксперт выяснил, что злоумышленник может злоупотребить этой