Программист и эксперт по ИБ Райан Пикрен (Ryan Pickren) раскрыл детали уязвимости CVE-2024-27812 («первый найденный пространственный дефект» в VisionOS и Safari) с возможностью вызова сторонних объектов, например пауков и летучих мышей, в пространстве пользователя гарнитуры Vision Pro.
В Apple посчитали это баг атакой типа DoS («отказ в обслуживании») через WebKit против пользователей гарнитуры. Разработчики компании выпустили патч против CVE-2024-27812 в обновлении VisionOS 1.2.По мнению Пикрена, в реальности обнаруженный им баг имеет гораздо более существенное влияние на пользователей.
Разработчик смог показать, что кликанье по одной ссылке пользователем в Safari может привести к быстрой активации VisionOS 1.1 и предыдущих версиях множественных объектов (специально созданного веб-контента), включая тех, к которым у пользователей есть отторжение или страх.Vision Pro обеспечивает предотвращение запуска неавторизованных приложений и проникновения в личное пространство пользователя.
Читать на habr.com