蘋果公司周一將 Vision Pro 虛擬現(xiàn)實(shí)頭盔的操作系統(tǒng) visionOS 更新到 1.2 版本，該版本修復(fù)了多個(gè)漏洞，其中包括可能是該產(chǎn)品特有的第一個(gè)安全漏洞，編號(hào)為 CVE-2024-27812。

visionOS 1.2 此次更新修復(fù)了近二十多個(gè)漏洞。其中絕大多數(shù)漏洞都存在于 visionOS 與其他蘋果產(chǎn)品（如 iOS、macOS 和 tvOS）共享的組件中。這些漏洞可能導(dǎo)致任意代碼執(zhí)行、信息泄露、權(quán)限升級(jí)和拒絕服務(wù)（DoS）。

其中，最突出的漏洞是 CVE-2024-27812。這似乎是 Vision Pro 耳機(jī)特有的唯一一個(gè) CVE，因?yàn)槌?visionOS 外，其他蘋果產(chǎn)品的公告中都沒有列出這個(gè) CVE。

據(jù)蘋果公司稱，CVE-2024-27812 與特制網(wǎng)頁內(nèi)容的處理有關(guān)，利用該漏洞會(huì)導(dǎo)致 DoS 攻擊。蘋果公司在公告中說：該問題已通過改進(jìn)文件處理協(xié)議得到解決。

Ryan Pickren 是蘋果公司的網(wǎng)絡(luò)安全研究員，在獲得蘋果公司批準(zhǔn)之前，Pickren 未透露該漏洞的任何細(xì)節(jié)。但他表示，這和以往 Vision Pro 漏洞有著明顯區(qū)別，這是Vision Pro 所特有的漏洞，并認(rèn)為 "這將有可能導(dǎo)致有史以來真正意義上的空間計(jì)算黑客攻擊"。

空間計(jì)算(spatial computing)技術(shù)可以參照現(xiàn)實(shí)的物理世界構(gòu)建一個(gè)數(shù)字孿生世界，將現(xiàn)實(shí)的物理世界與數(shù)字的虛擬世界連接在一起。使我們能夠進(jìn)入并且操控 3D 空間，并用更多的信息和經(jīng)驗(yàn)來增強(qiáng)現(xiàn)實(shí)世界。

Vision Pro 作為虛擬現(xiàn)實(shí)代表產(chǎn)品，自發(fā)布日起就屢屢曝出存在嚴(yán)重的安全漏洞。

此前麻省理工學(xué)院（MIT）一名博士生Joseph Ravichandran分享了蘋果公司 visionOS 軟件的一個(gè)內(nèi)核漏洞，此時(shí)Vision Pro 頭戴式耳機(jī)剛剛發(fā)布一天。該漏洞針對(duì)的是設(shè)備的操作系統(tǒng)，有可能被用來創(chuàng)建惡意軟件、提供未經(jīng)授權(quán)的訪問或越獄，從而使任何人都可以使用耳機(jī)。

Ravichandran在 X上發(fā)布帖子指出，這是世界上第一個(gè)針對(duì) Vision Pro 的內(nèi)核漏洞。為此蘋果公司修改了用戶指南，并指出對(duì) vision OS 進(jìn)行未經(jīng)授權(quán)的修改會(huì)繞過安全功能，并可能導(dǎo)致許多問題，如安全漏洞、不穩(wěn)定性以及被黑客入侵的 Apple Vision Pro 的電池壽命縮短。

蘋果公司強(qiáng)烈警告用戶不要安裝任何修改 visionOS 的軟件，且由于未經(jīng)授權(quán)修改 visionOS 違反了 visionOS 軟件許可協(xié)議，因此可能會(huì)導(dǎo)致 Apple Vision Pro拒絕提供服務(wù)。蘋果警告說，黑客攻擊耳機(jī)可能導(dǎo)致iCloud、FaceTime和Apple Pay等服務(wù)中斷，而使用推送通知的第三方應(yīng)用程序也可能受到影響。