A Safari 17 biztonsági változásjegyzéke

Ez a dokumentum a Safari 17 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági kiadásaival foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 17

Safari

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd., Púna, India)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Egy távoli támadó megtekinthetett kiszivárgott DNS-lekérdezéseket, ha be volt kapcsolva a Privát átjátszó

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2023-40385: anonim

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: A helyességgel kapcsolatos problémát az ellenőrzések továbbfejlesztésével oldottuk meg.

CVE-2023-42833: Abysslab – Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2023-39434: Francisco Alonso (@revskills) és Dohyun Lee (@l33d0hyun, PK Security)

CVE-2023-40414: Francisco Alonso (@revskills)

CVE-2023-42970: 이준성 (Junsung Lee, Cross Republic)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: A JavaScript-végrehajtással rendelkező támadók tetszőleges programkódot tudtak futtatni.

Leírás: Az iframe-ek sandboxban való futtatásának hatékonyabb kikényszerítésével hárítottuk el a problémát.

CVE-2023-40451: anonim kutató

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-41074: 이준성 (Junsung Lee, Cross Republic) és Jie Ding (@Lime, HKUS3 Lab)

WebKit

A következőkhöz érhető el: macOS Monterey és macOS Ventura

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-35074: AbyssLab – Dong Jun Kim (@smlijun) és Jong Seong Kim (@nevul37), valamint zhunki

CVE-2023-42875: 이준성(Junsung Lee)

WebKit

A következőhöz érhető el: macOS Ventura.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 16.7 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-41993: Bill Marczak (The Citizen Lab, University of Toronto, Munk School) és Maddie Stone (Google Threat Analysis Group)

További köszönetnyilvánítás

WebKit

Köszönjük Khiem Tran és Narendra Bhati (Suma Soft Pvt. Ltd, Púna, India) segítségét.

WebRTC

Köszönjük egy anonim kutató segítségét.