Informace o bezpečnostním obsahu Safari 16.6

Tento dokument popisuje bezpečnostní obsah Safari 16.6.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

Safari 16.6

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Weby můžou sledovat citlivá data uživatelů.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin a Yuval Yarom

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování dokumentu může vést k útoku skriptováním mezi weby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd, Pune – Indie, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina a Lorenzo Veronese z týmu TU Wien

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Web může být schopen obejít zásady stejného původu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd, Pune – Indie

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: anonymní výzkumník, Jiming Wang a Jikai Ren

CVE-2023-38600: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-42866: Francisco Alonso (@revskills) a Junsung Lee

WebKit

K dispozici pro: iPhone 8 a novější, iPad Pro (všechny modely), iPad Air 3. generace a novější, iPad 5. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2023-43000: Apple

WebKit Process Model

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-38597: 이준성 (Junsung Lee) ze společnosti Cross Republic

WebKit Web Inspector

K dispozici pro: macOS Big Sur a macOS Monterey

Dopad: Zpracování webového obsahu může vést k odhalení citlivých informací.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Další poděkování

WebKit

Poděkování za pomoc zaslouží Narendra Bhati (twitter.com/imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd, Pune – Indie.

WebRTC

Poděkování za pomoc zaslouží anonymní výzkumník.