【必中平肖碼特一期中準】
【香港600圖庫大全免費資料圖2024】
【2024年新澳門正版資料大全公開】
【澳門肖一碼100%準確管家】
【2024澳門三肖三碼100精準】
【香港4949澳門免費資料大全優(yōu)勢】
【2024澳門管家婆資料正版大全′】
【管家婆明晚開什么號碼香港】
【劉伯溫四肖八碼期期期準特征】
【2024年澳門開彩結果歷史記錄網(wǎng)站】
【澳門六開彩開獎近十五期表】
【2024年澳門資料大全6788管家婆正版資料免費開獎記錄】
【2024澳門免費開獎結果查詢表格下載】
【二四六天天如彩】
【新管家婆一肖一碼一特】
【澳門官方123網(wǎng)站澳門正拆掛牌記錄】
【新奧彩今晚開什么號碼】
【管家婆一句話贏大錢網(wǎng)站】
【2024年澳門今晚開獎號碼親澳門】
【香港澳門彩霸王745888WWW】
【136234藏寶閣精準一肖】
【澳門王中王一肖一碼一中MBA】
【澳門正版免費資料大全準澳門】
【新奧今天晚上開什么特碼】
【2o24新澳門正版資料免費大全】

IT之家 6 月 23 日消息,蘋果修復了一個影響 ?Vision Pro 的漏洞,該漏洞允許惡意網(wǎng)站在用戶視野中憑空生成無限量的虛擬 3D 物體,這些物體可以是成群結隊的蝙蝠,并且會在用戶退出 Safari 瀏覽器后依然存在。

該漏洞是由一位網(wǎng)絡安全研究人員瑞恩?皮克倫 (Ryan Pickren)?發(fā)現(xiàn)的,他表示,他表示蘋果公司采取了很多措施來防范此類漏洞,但遺漏了一處關鍵細節(jié):

皮克倫表示,蘋果在 Vision Pro 的 App 上加入了針對此類攻擊的特定防護。蘋果一直非常重視保護用戶在 Vision Pro 內的個人空間,防止惡意應用通過生成虛擬物品來嚇唬用戶。幸運的是,默認情況下,原生應用只能在可預測且易于關閉的“共享空間”內運行。

IT之家注意到,如果開發(fā)者想讓應用提供更沉浸式的體驗,則需要通過操作系統(tǒng)級別的提示征得用戶同意,將應用切換到可信賴的“完整空間”模式。網(wǎng)站也可以通過實驗性功能實現(xiàn)同樣的效果,蘋果也同樣將“完整空間”的權限模型擴展到了網(wǎng)站上。

然而,蘋果卻遺漏了一項早期的增強現(xiàn)實 (AR) 功能。這項由蘋果于 2018 年開發(fā)的功能仍然存在于 ?WebKit 內核(包括 ?visionOS 系統(tǒng)),它允許網(wǎng)站在用戶視野中直接展示 3D 模型。

皮克倫發(fā)現(xiàn),VisionOS 團隊似乎忘記了一個舊的基于網(wǎng)頁的 3D 模型查看標準 —— 蘋果 ARKit 快速瀏覽 (Apple AR Kit Quick Look)。早在 2018 年,蘋果剛開始涉足 AR / VR / XR 領域時,就為 iOS 開發(fā)了一種基于 HTML 的新方法,用于呈現(xiàn) 3D 皮克斯 (Pixar) 文件,名為“原地 USDZ 查看 (In-Place USDZ Viewing)”。

經(jīng)過一些測試,皮克倫發(fā)現(xiàn)這項功能在 WebKit(包括 ?visionOS 版本)中仍然可用,甚至支持蘋果 Reality Composer 創(chuàng)建的更現(xiàn)代的“.reality”文件格式。除此之外,這項功能還可以添加空間音頻效果,讓聲音仿佛直接來自虛擬物體本身。更重要的是,這項功能默認啟用,無需用戶開啟任何額外的實驗性選項。

該漏洞的嚴重之處在于 Safari 瀏覽器并未對該功能設定任何權限控制,也不要求用戶點擊特定的鏈接。惡意網(wǎng)站可以通過編程讓 JavaScript 自動點擊鏈接來觸發(fā)該功能,從而在用戶毫無察覺的情況下生成任意數(shù)量的具有 3D 效果、動畫和音效的物體。

這意味著攻擊者只要讓受害者訪問惡意網(wǎng)站,就可以瞬間在 Vision Pro 中生成數(shù)百只爬行的蜘蛛和尖叫的蝙蝠,給用戶帶來驚嚇。

皮克倫向蘋果通報了該漏洞,蘋果已經(jīng)修復了該漏洞,并向皮克倫支付了相應的漏洞賞金。