Acerca del contenido de seguridad de Safari 17

En este documento se describe el contenido de seguridad de Safari 17.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Safari 17

Safari

Disponible para: macOS Monterey y macOS Ventura

Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado un problema de gestión de ventanas mejorando la gestión del estado.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd, Pune (India)

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: un atacante remoto podría ver consultas DNS filtradas con el relay privado activado

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-40385: anónimo

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

CVE-2023-42833: Dong Jun Kim (@smlijun) y Jong Seong Kim (@nevul37) de AbyssLab

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: un atacante con ejecución de JavaScript podría ejecutar código arbitrario.

Descripción: este problema se ha solucionado mejorando la aplicación de la zona protegida de iframe.

CVE-2023-40451: investigador anónimo

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-41074: 이준성(Junsung Lee) de Cross Republic y Jie Ding(@Lime) de HKUS3 Lab

WebKit

Disponible para: macOS Monterey y macOS Ventura

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) y Jong Seong Kim(@nevul37)

WebKit

Disponible para: macOS Ventura.

Impacto: el procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haber sido usado activamente contra versiones de iOS publicadas antes de iOS 16.7.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-41993: Bill Marczak de The Citizen Lab del Munk School de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google

Otros agradecimientos

WebKit

Queremos dar las gracias por su ayuda a Khiem Tran y Narendra Bhati From Suma Soft Pvt. Ltd, Pune (India).

WebRTC

Queremos dar las gracias a un investigador anónimo por su ayuda.