Posted in

Correction d’un bug de Vision Pro ; les sites Web ne peuvent plus remplir votre pièce de chauves-souris


Apple a corrigé un bug de Vision Pro qui aurait permis à un web-site Net de remplir votre pièce d’un nombre illimité d’objets virtuels 3D. Ces objets – des chauves-souris volantes dans la preuve de concept – persisteraient même après avoir quitté Safari.

Le bug a été découvert par un chercheur en cybersécurité qui affirme qu’Apple a pris beaucoup de précautions pour se protéger contre ce type d’exploit, mais il a oublié une chose…

Apple dispose de protections contre cela

Ryan Pickren dit qu’Apple a une protection spécifique contre cela dans les purposes Eyesight Professional.

L’un des principaux domaines dans lesquels Apple protège à juste titre est la safety de qui et de quoi est autorisé à entrer dans votre espace personnel dans Vision Pro. Ne serait-il pas awful si une application malveillante pouvait vous effrayer en faisant apparaître des objets derrière vous ? Heureusement, par défaut, les purposes natives sont limitées à un «Espace partagé« contexte, où ils agissent de manière prévisible et peuvent être facilement fermés.

Si une software souhaite une expérience furthermore immersive, elle doit recevoir une autorisation explicite de l’utilisateur via une invite au niveau du système d’exploitation qui la put dans un «Espace complet » contexte.

Les websites Internet peuvent utiliser des fonctionnalités expérimentales pour obtenir le même résultat, mais Apple a étendu le modèle Total Room pour l’appliquer également aux sites Website.

Mais l’entreprise a oublié une selected

Mais Apple a oublié une fonctionnalité AR développée en 2018. Elle est toujours présente dans WebKit aujourd’hui, et cela inclut la edition Eyesight Professional.

Il existe une ancienne norme de visualisation de modèles 3D basée sur le Website que l’équipe de visionOS semble avoir oubliée : Aperçu rapide du package Apple AR! En 2018, lorsque Apple a commencé à s’intéresser à la réalité augmentée/réalité virtuelle/XR, ils ont développé une nouvelle méthode basée sur HTML dans iOS pour le rendu des fichiers Pixar 3D appelée Visualisation USDZ sur put (…)

Après quelques tests rapides, j’ai remarqué que cette norme est toujours bien vivante dans WebKit (y compris la model visionOS), et prend même en cost les moreover modernes « .réalité » type de fichier créé par Apple Compositeur de réalité. En fait, on peut même ajouter Audio spatial on a donc l’impression que le son vient de l’objet lui-même. Mieux encore, ces fonctionnalités fonctionnent par défaut, de sorte que la victime n’a pas besoin d’activer des fonctionnalités expérimentales sophistiquées.

Et voici la partie amusante : Safari n’applique aucun type de modèle d’autorisation sur cette fonctionnalité. De as well as, il n’est même pas nécessaire que cette balise d’ancrage ait été « cliquée » par l’humain. Donc, un clic JavaScript programmatique (c’est-à-dire document.querySelector(‘a’).simply click()) fonctionne sans problème ! Cela signifie que nous pouvons lancer un nombre arbitraire d’objets 3D, animés et créateurs de sons sans aucune interaction de l’utilisateur.

Si la victime vient de vues Avec notre site Net sous Vision Pro, nous pouvons instantanément remplir leur pièce de centaines d’araignées rampantes et de chauves-souris hurlantes ! Des trucs bizarres.

Tout ce qu’un utilisateur doit faire est simplement de visiter un web site Internet, et quelques secondes plus tard…

Maintenant corrigé

Apple a payé à Pickren une primary de bug non divulguée pour avoir identifié la vulnérabilité, et celle-ci est maintenant corrigée.

Graphic principale : Todd Cravens sur Unsplash. Gifs chauves-souris : Ryan Pickren.

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Additionally.