Acerca del contenido de seguridad de Safari 16.6

En este documento, se describe el contenido de seguridad de Safari 16.6.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

Safari 16.6

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Un sitio web podía rastrear información confidencial del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin y Yuval Yarom

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: El procesamiento de un documento podía ocasionar un ataque de scripts de sitios.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd., Pune, India; Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina y Lorenzo Veronese de TU Wien

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Un sitio web podía omitir la política del mismo origen.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd., Pune, India

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: Un investigador anónimo, Jiming Wang y Jikai Ren

CVE-2023-38600: anónimo en colaboración con el programa Zero Day Initiative de Trend Micro

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-42866: Francisco Alonso (@revskills) y Junsung Lee

WebKit Process Model

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-38597: 이준성 (Junsung Lee) de Cross Republic

WebKit Web Inspector

Disponible para macOS Big Sur y macOS Monterey

Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Otros agradecimientos

WebKit

Nos gustaría darle las gracias a Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd., Pune, India, por su ayuda.

WebRTC

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.