Tietoja Safari 16.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 16.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

Safari 16.4

Julkaistu 27.3.2023

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7:ää julkaistuja iOS-versioita vastaan.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor, Kaspersky)

Kohta lisätty 21.6.2023

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 248615

CVE-2023-27932: nimetön tutkija

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.

WebKit Bugzilla: 250837

CVE-2023-27954: nimetön tutkija

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 249434

CVE-2014-1745: nimetön tutkija

Kohta lisätty 21.12.2023

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kohta lisätty 21.12.2023

WebKit

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: yleismerkkejä sisältävien domainien estämiseen tarkoitettu sisältöturvallisuuskäytäntö saattoi epäonnistua.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken (imec-DistriNet, KU Leuven)

Kohta lisätty 21.12.2023

WebKit Web Inspector

Saatavuus: macOS Big Sur ja macOS Monterey

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me, SSD Labs)

Kohta lisätty 1.5.2023

Kiitokset

CFNetwork

Haluamme kiittää avusta nimetöntä tutkijaa.

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.

WebKit Web Inspector

Haluamme kiittää Dohyun Leetä (@l33d0hyun, SSD Labs) ja crixeriä (@pwning_me, SSD Labs) heidän avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: