מידע על תוכן האבטחה של Safari 17

מסמך זה מתאר את תוכן האבטחה של Safari 17.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

Safari 17

הופץ ב-26 בספטמבר 2023

Safari

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בעיה בניהול חלונות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-40417: ‏Narendra Bhati (‏twitter.com/imnarendrabhati) מ-Suma Soft Pvt.‎ Ltd, פונה (הודו)

הרשומה עודכנה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: כאשר 'ממסר פרטי' מופעל, תוקף מרוחק עלול להצליח להציג שאילתות DNS שהודלפו

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

WebKit Bugzilla‏: 257303
CVE-2023-40385: אנונימי

הרשומה נוספה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 258592
CVE-2023-42833‏: Dong Jun Kim ‏(@smlijun) ו-Jong Seong Kim ‏(@nevul37) מ-AbyssLab

הרשומה נוספה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 258992
CVE-2023-40414‏: Francisco Alonso ‏(@revskills)

הרשומה נוספה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: תוקף עם יכולת הפעלת JavaScript עלול להצליח להפעיל קוד שרירותי

תיאור: בעיה זו טופלה באמצעות אכיפה משופרת של השימוש ב'ארגז חול' של iframe.

WebKit Bugzilla‏: 251276
CVE-2023-40451: חוקר אנונימי

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏256551
CVE-2023-41074‏: 이준성(Junsung Lee) מ-Cross Republic ו-Jie Ding(@Lime) מ-HKUS3 Lab

הרשומה עודכנה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Monterey ו-macOS Ventura

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה על ידי טיפול משופר בזיכרון.

WebKit Bugzilla: ‏239758
CVE-2023-35074‏: Ajou University Abysslab Dong Jun Kim(@smlijun) ו-Jong Seong Kim(@nevul37)

הרשומה עודכנה ב‑2 בינואר 2024

WebKit

זמין עבור: macOS Ventura

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 261544
CVE-2023-41993: Bill Marczak מ-The Citizen Lab ב-Munk School של The University of Toronto ו-Maddie Stone מ-Threat Analysis Group של Google

תודות נוספות

WebKit

אנחנו מבקשים להודות לקיאם טראן ולנרנדרה בהאטי מ-Suma Soft Pvt.‎ Ltd, פונה (הודו) על הסיוע.

WebRTC

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 11 בינואר 2024

מועיל?