Le vendite del Vision Pro inizieranno domani negli Stati Uniti. A poche ore dal debutto nei negozi, Apple ha rilasciato la versione 1.0.2 di visionOS. L’aggiornamento include la patch per una vulnerabilità zero-day scoperta in WebKit e già risolta in iOS, iPadOS, macOS e tvOS. La CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha invece individuato un exploit per un bug nel kernel dei sistemi operativi.
Patch per visionOS prima del lancio
Come specificato nella pagina relativa alla patch, il fix di sicurezza è era già incluso nella versione 1.0.1 di visionOS rilasciata agli sviluppatori. La versione 1.0.2 è invece destinata ai dispositivi che hanno ancora vision 1.0. Come detto, il problema è lo stesso scoperto in iOS, iPadOS, macOS e tvOS.
La vulnerabilità zero-day, indicata con CVE-2024-23222 e presente in WebKit, può essere sfruttata per eseguire codice arbitrario. Non è chiaro però come possa essere effettuato un eventuale attacco contro il Vision Pro, in quanto Apple non ha fornito nessun dettaglio. L’unica certezza è che l’utente deve visitare una pagina web infetta.
WebKit è il motore di rendering di Safari. Il browser è presente anche sul visore e deve essere utilizzato per accedere a Netflix, Spotify e YouTube perché non ci sono le app native.
La CISA ha invece ordinato alle agenzie federali di installare, entro il 21 febbraio, la patch per la vulnerabilità zero-day (CVE-2022-48618) presente nel kernel di iOS, iPadOS, macOS, tvOS e watchOS. L’exploit è già in circolazione, quindi è obbligatorio installare le ultime versioni dei sistemi operativi. Se non è possibile, i dispositivi non devono essere più utilizzati.