Tietoja Safari 17:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 17:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät versiot on listattu Applen suojauspäivitykset ‑sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

Safari 17

Safari

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.

Kuvaus: ikkunoiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia)

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-40385: nimetön

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-42833: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab)

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-39434: Francisco Alonso (@revskills) ja Dohyun Lee (@l33d0hyun, PK Security)

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성 (Junsung Lee, Cross Republic)

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: JavaScriptiä käyttänyt hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristyksen toimeenpanoa.

CVE-2023-40451: nimetön tutkija

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41074: 이준성(Junsung Lee, Cross Republic) ja Jie Ding(@Lime, HKUS3 Lab)

WebKit

Saatavuus: macOS Monterey ja macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-35074: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab) sekä zhunki

CVE-2023-42875: 이준성 (Junsung Lee)

WebKit

Saatavuus: macOS Ventura

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41993: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)

Kiitokset

WebKit

Haluamme kiittää avusta Khiem Trania ja Narendra Bhatia (Suma Soft Pvt. Ltd, Pune (Intia)).

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.