אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
Safari 16.2
הופץ ב‑13 בדצמבר 2022
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-46705: הייון פארק (tree_segment@) מ-Team ApplePIE
הרשומה נוספה ב-22 בדצמבר 2022, עודכנה ב-16 במרץ 2023
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 245521
CVE-2022-42867: מאדי סטון מ-Google Project Zero
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 245466
CVE-2022-46691: חוקר אנונימי
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות אותו מקור (Same Origin Policy)
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 246783
CVE-2022-46692: קירטיקומאר אננדראו רמצ'נדאני
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 246721
CVE-2022-42852: hazbinhotel בעבודה משותפת עם Trend Micro Zero Day Initiative
הרשומה עודכנה ב-22 בדצמבר 2022
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 246942
CVE-2022-46696: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: סמואל גרוס מ-Google V8 Security
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לחשיפת מידע רגיש של משתמשים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 247066
CVE-2022-46698: דוהיון לי (l33d0hyun@) מ-DNSLab באוניברסיטת קוריאה, ריאן שין מ-IAAI SecLab באוניברסיטת קוריאה
הרשומה עודכנה ב-22 בדצמבר 2022
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 247420
CVE-2022-46699: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: חוקר אנונימי
WebKit
זמין עבור: macOS Big Sur ו-macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.1.
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
WebKit Bugzilla: 248266
CVE-2022-42856: קלמנט לסין מ-Google Threat Analysis Group
תודות נוספות
WebKit
אנחנו מבקשים להודות לחוקר אנונימי scarlet על הסיוע.